Sertifikaciono telo Banca Intesa ad
Beograd za eksterne korisnike
Politika sertifikacije
Pravna lica – Eksterni korisnici
Sertifikati koji se izdaju u okviru ove Politike sertifikacije:
Sertifikat za pravna lica – e-banking na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)
Sertifikat za pravna lica – web krediti na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)
Sertifikat za pravna lica – Broker assistance na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)
Sertifikat za pravna lica – partnere na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)
– verzija 0.5 –
Beograd, Juni 2010.
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Sadržaj
1. Uvod i pregled osnovnih pretpostavki........................................................................ 5
1.1 Osnovne pretpostavke ................................................................................................. 5
1.1.1 Osnovni dokumenti rada Banca Intesa Beograd CA ....................................... 6
1.1.2 Meñusobni odnos osnovnih dokumenata rada Banca Intesa Beograd CA.. 6
1.1.3 Standardi................................................................................................................. 6
1.1.4 Posebna interna pravila rada............................................................................... 7
1.2 Sertifikati Banca Intesa Beograd CA ......................................................................... 7
1.3 OID struktura Banca Intesa Beograd CA .................................................................. 9
1.4 Identifikacija ................................................................................................................. 11
1.5 Okruženje i primenljivost Politike sertifikacije......................................................... 12
1.5.1 Banca Intesa Beograd CA.................................................................................. 12
1.5.2 Hijerarhijska struktura Banca Intesa Beograd CA.......................................... 12
1.5.3 Registraciona tela Banca Intesa Beograd CA................................................. 14
1.5.4 Korisnici................................................................................................................. 15
1.5.5 Treće strane ......................................................................................................... 16
1.5.6 Ispravno korišćenje sertifikata ........................................................................... 16
1.5.7 Definicije................................................................................................................ 17
1.5.8 Kontaktni detalji.................................................................................................... 21
1.6 Opšte odredbe............................................................................................................. 21
1.6.1 Obaveze................................................................................................................ 21
2. Publikovanje i repozitorijumi ....................................................................................... 26
3. Identifikacija i autentifikacija korisnika..................................................................... 27
3.1 Nazivi ............................................................................................................................ 27
3.2 Inicijalna provera identiteta........................................................................................ 28
3.3 Identifikacija i autentifikacija zahteva za obnavljanje ključeva ............................ 29
3.4 Identifikacija i autentifikacija zahteva za povlačenje sertifikata........................... 29
4. Operativni zahtevi u vezi životnog ciklusa sertifikata........................................... 30
4.1 Aplikacija za dobijanje sertifikata.............................................................................. 30
4.2 Procesiranje aplikacije za dobijanje sertifikata....................................................... 30
4.3 Izdavanje sertifikata.................................................................................................... 31
4.4 Prihvatanje sertifikata ................................................................................................. 31
4.5 Korišćenje sertifikata i asimetričnog para ključa .................................................... 32
4.6 Obnavljanje sertifikata................................................................................................ 32
4.7 Generisanje novog para ključeva i sertifikata korisnika........................................ 33
4.8 Modifikacije sertifikata korisnika ............................................................................... 33
4.9 Suspenzija i povlačenje sertifikata ........................................................................... 33
4.9.1 Povlačenje sertifikata .......................................................................................... 33
4.9.2 Suspenzija sertifikata .......................................................................................... 34
4.10 Servisi provere statusa sertifikata .......................................................................... 35
4.11 Prestanak korišćenja sertifikata.............................................................................. 35
4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika............................................. 35
5. Upravne, operativne i fizičke bezbednosne kontrole............................................ 37
2
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
5.1 Fizičke bezbednosne kontrole .................................................................................. 37
5.2 Proceduralne kontrole ................................................................................................ 37
5.3 Kadrovske bezbednosne kontrole............................................................................ 38
5.3.1 Kvalifikacija i iskustvo ......................................................................................... 38
5.3.2 Procedura provere biografije ............................................................................. 39
5.3.3 Zahtevi za obučenošću....................................................................................... 39
5.3.4 Ponovna obuka .................................................................................................... 39
5.3.5 Rotacija poslova................................................................................................... 39
5.3.6 Kaznene mere u odnosu na zaposlene ........................................................... 39
5.3.7 Kontrole nezavisnih lica pod ugovorom ........................................................... 39
5.3.8 Dokumentacija za inicijalnu obuku i ponovnu obuku ..................................... 39
5.4 Procedure bezbednosnih provera/revizije .............................................................. 39
5.5 Arhiviranje zapisa........................................................................................................ 40
5.6 Izmena ključeva........................................................................................................... 41
5.7 Kompromitacija i oporavak u slučaju katastrofe..................................................... 41
5.8 Završetak rada CA ili RA ........................................................................................... 42
6. Tehničke bezbednosne kontrole................................................................................. 43
6.1 Generisanje i instalacija asimetričnog para ključeva ............................................ 43
6.1.1 Proces generisanja privatnog ključa Banca Intesa Beograd CA ................. 43
6.1.2 Generisanje ključa Banca Intesa Beograd CA................................................ 44
6.1.3 Ureñaji za generisanje ključeva Banca Intesa Beograd CA ......................... 44
6.1.4 Kontrole generisanja ključeva Banca Intesa Beograd CA ............................ 44
6.2 Zaštita privatnog ključa .............................................................................................. 45
6.2.1 Čuvanje privatnog ključa Banca Intesa Beograd CA..................................... 45
6.2.2 Distribucija deljenih tajni za aktivaciju privatnog ključa Banca Intesa
Beograd CA .................................................................................................................... 46
6.2.3 Uništavanje privatnog ključa Banca Intesa Beograd CA............................... 46
6.3 Neki aspekti upravljanja parom ključeva ................................................................. 47
6.4 Aktivacioni podaci ....................................................................................................... 47
6.5 Bezbednosne kontrole računara............................................................................... 47
6.6 Životni ciklus bezbednosnih kontrola....................................................................... 47
6.7 Mrežne bezbednosne kontrole ................................................................................. 47
6.8 Vremenski pečat ......................................................................................................... 47
7. Profili sertifikata i CRL lista ......................................................................................... 48
7.1 Profili sertifikata ........................................................................................................... 48
7.1.1 Opšti profil sertifikata........................................................................................... 49
7.1.2 Profil Root CA sertifikata Banca Intesa Beograd CA..................................... 50
7.1.3 Profil Intermediate CA sertifikata Banca Intesa Beograd CA ....................... 50
7.1.3 Profil sertifikata korisnika – pravnog lica Banca Intesa Beograd CA .......... 51
7.2 Profil CRL liste............................................................................................................. 52
7.3 OCSP profil .................................................................................................................. 52
8. Provera saglasnosti sa Politikom sertifikacije........................................................ 53
9. Drugi poslovni i pravni aspekti ................................................................................... 54
9.1 Cene.............................................................................................................................. 54
9.2 Finansijska odgovornost ............................................................................................ 54
9.3 Poverljivost poslovnih informacija ............................................................................ 55
9.4 Privatnost i zaštita personalnih informacija ............................................................ 55
9.5 Prava intelektualnog vlasništva ................................................................................ 56
3
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
9.6 Predstavljanje i garancije........................................................................................... 56
9.7 Nepriznavanje garancije ............................................................................................ 56
9.8 Ograničenja odgovornosti.......................................................................................... 56
9.9 Odštete ......................................................................................................................... 57
9.10 Period važnosti i kraj validnosti Politike sertifikacije ........................................... 57
9.11 Pojedinačna obaveštenja i komunikacija sa učesnicima.................................... 57
9.12 Ispravke...................................................................................................................... 57
9.13 Procedure rešavanja sporova................................................................................. 57
9.14 Zakon koji se poštuje ............................................................................................... 57
9.15 Saglasnost sa primenljivim zakonima ................................................................... 58
9.16 Razne odredbe.......................................................................................................... 58
9.17 Druge odredbe .......................................................................................................... 58
4
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
1. Uvod i pregled osnovnih pretpostavki
Sertifikaciono telo Banca Intesa ad Beograd za eksterne korisnike (u nastavku:
Banca Intesa Beograd CA) izdaje elektronske sertifikate tako što formira elektronski
potpis sertifikata na osnovu svog privatnog ključa i asimetričnog kriptografskog
algoritma.
U tako formiranom elektronskom sertifikatu, Banca Intesa Beograd CA se identifikuje
kao izdavalac elektronskog sertifikata, ili eventualno izdavalac kvalifikovanog
elektronskog sertifikata u skladu sa Zakonom o elektronskom potpisu i
odgovarajućim podzakonskim aktima.
Ukoliko to bude aktuelno, Banca Intesa Beograd CA će izdavati kvalifikovane
elektronske sertifikate korisnika u skladu sa dokumentima ETSI ESI TS 101 862
„Qualified Certificate Profile”, RFC 3739 „Internet X.509 Public Key Infrastructure:
Qualified Certificates Profile“, RFC 5280 „Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile” i ETSI TS 102 280 „X.509
V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa obaveznim
sadržajem definisanim u članu 17. Zakona o elektronskom potpisu Republike Srbije
(u daljem tekstu: Zakon).
1.1 Osnovne pretpostavke
Banca Intesa Beograd CA je odgovorno za pružanje kompletnih usluga sertifikacije,
koje uključuju sledeće servise, i to:
Registraciju korisnika,
Formiranje elektronskih sertifikata,
Distribuciju elektronskih sertifikata korisnicima,
Upravljanje procedurom opoziva elektronskih sertifikata i
Obezbeñivanje statusa opozvanosti elektronskih sertifikata.
Banca Intesa Beograd CA može, pored navedenih servisa, da obezbedi i formiranje
asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i sertifikata
korisniku na bezbedan način.
Banca Intesa Beograd CA može da obezbedi i sredstvo za formiranje elektronskog i
kvalifikovanog elektronskog potpisa korisnicima i pridruženu lozinku (ili PIN kod) za
aktivaciju sredstva, kao i njihovu bezbednu distribuciju do korisnika.
5
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
1.1.1 Osnovni dokumenti rada Banca Intesa Beograd CA
Banca Intesa Beograd CA utvrñuje Opšta interna pravila pružanja usluge sertifikacije
(u daljem tekstu: Opšta pravila) u skladu sa Zakonom koja korisnicima obezbeñuju
dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu
usluga.
Opšta pravila sertifikacije Banca Intesa Beograd CA ugrañuju se u dokumenta:
1. Politika sertifikacije (Certificate Policy) – ovaj dokument;
2. Praktična pravila pružanja usluge Sertifikacije (Certification Practices
Statement) (u daljem tekstu: Praktična pravila).
Politika sertifikacije i Praktična pravila su javni dokumenti. Politika sertifikacije
definiše predmet rada sertifikacionog tela, dok Praktična pravila definišu procese i
način njihovog korišćenja pri formiranju i upravljanju kvalifikovanim elektronskim
sertifikatima.
1.1.2 Meñusobni odnos osnovnih dokumenata rada Banca Intesa
Beograd CA
Politika sertifikacije definiše zahteve poslovanja sertifikacionog tela, dok Praktična
pravila definišu operativne procedure u cilju ispunjenja tih zahteva. Praktična pravila
definišu način na koji sertifikaciono telo ispunjava tehničke, organizacione i
proceduralne zahteve poslovanja koji su identifikovani u Politici sertifikacije.
Politika sertifikacije je manje specifičan i detaljan dokument u odnosu na Praktična
pravila koja predstavljaju mnogo detaljniji opis načina poslovanja, kao i poslovne i
operativne procedure koje sertifikaciono telo primenjuje u izdavanju i upravljanju
kvalifikovanim elektronskim sertifikatima.
Politika sertifikacije se definiše nezavisno od specifičnog operativnog okruženja
sertifikacionog tela, dok Praktična pravila daju detaljan opis organizacione strukture,
operativnih procedura, kao i fizičko i računarsko okruženje sertifikacionog tela.
1.1.3 Standardi
Opšta pravila funkcionisanja Banca Intesa Beograd CA su u skladu sa dokumentima
RFC 3647 „Internet X.509 Public Key Infrastructure. Certificate Policy and
Certification Practices Framework” i ETSI TS 101 456 „Policy Requirements for
Certification Authorities Issuing Qualified Certificates”.
6
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
1.1.4 Posebna interna pravila rada
Banca Intesa Beograd CA utvrñuje i Posebna interna pravila rada sertifikacionog tela
i zaštite sistema sertifikacije (u daljem tekstu: Posebna pravila) u kojima su sadržani i
detaljno opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja
elektronskim sertifikatima i kvalifikovanim elektronskim sertifikatima.
Posebna pravila su privatni dokument i predstavljaju poslovnu tajnu sertifikacionog
tela.
Posebna pravila sadrže detaljne odredbe o:
sistemu fizičke kontrole pristupa u pojedine prostorije sertifikacionog tela;
sistemu logičke kontrole pristupa računarskim resursima sertifikacionog tela;
sistemu za čuvanje privatnog ključa sertifikacionog tela;
sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa sertifikacionog
tela;
postupcima i radnjama u vanrednim situacijama (požari, poplave, zemljotresi,
druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni
sistem sertifikacionog tela).
Banca Intesa Beograd CA će biti evidentirano od strane Nadležnog organa i biće
predmet periodične supervizije u cilju osiguravanja saglasnosti sa zahtevima
navedenim u Zakonu o elektronskom potpisu i odgovarajućim podzakonskim aktima.
1.2 Sertifikati Banca Intesa Beograd CA
Banca Intesa Beograd CA infrastruktura sistema sa javnim ključevima (PKI – Public
Key Infrastructure sistem) je odgovorna za izdavanje sledećih vrsta sertifikata:
Root CA za interne i eksterne korisnike – na smart kartici;
Intermediate CA za eksterne korisnike – na smart kartici;
Intermediate CA (Microsoft - Enterprise) za interne korisnike;
Intermediate CA (Microsoft – Standalone) za uspostavu interne VPN (IPSec)
mreže u Banci – Enterprise VPN
(Opciono) različiti Intermediate CA sertifikati
Sertifikati internih korisnika
o Zaposleni Banke – elektronski sertifikat na smart kartici – CID
(Corporate ID)
o AdminWeb korisnici – elektronski sertifikat na smart kartici (posebna
smart kartica)
7
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
o Poslovni saradnici - pojedinci iz partnerskih firmi – elektronski sertifikat
na smart kartici (USB smart card token – iKey) za udaljeni pristup mreži
Banke (VPN (IPSec))
Sertifikati eksternih korisnika
o Fizička lica
Za fizička lica – na mini CD medijumu za potrebe elektronskog
home banking sistema – elektronski sertifikat (generički),
(Opciono) Za fizička lica za potrebe realizacije elektronskog
home banking sistema – na smart kartici – Maestro
multiaplikativna EMV platna kartice – elektronski sertifikat (u
budućnosti potencijalni kvalifikovani elektronski sertifikat),
(Opciono) Za fizička lica – partnere ili specijalne korisnike Banca
Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na
smart kartici – elektronski sertifikat (u budućnosti potencijalni
kvalifikovani elektronski sertifikat),
o Pravna lica
Za pravna lica, registrovana za obavljanje delatnosti, za potrebe
elektronskog bankarstva Banca Intesa ad Beograd – na smart
kartici – e-banking kartici – elektronski sertifikat (u budućnosti
potencijalni kvalifikovani elektronski sertifikat),
Za pravna lica – aplikacija web krediti - na smart kartici –
elektronski sertifikat (u budućnosti potencijalni kvalifikovani
elektronski sertifikat),
Za pravna lica – aplikacija Broker assistance – na smart kartici elektronski sertifikat (u budućnosti potencijalni kvalifikovani
elektronski sertifikat),
(Opciono) Za pravna lica – partnere ili specijalne korisnike Banca
Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na
smart kartici – elektronski sertifikat (u budućnosti potencijalni
kvalifikovani elektronski sertifikat),
(Opciono) Za pravna lica koja žele da budu CA u okviru PKI
sistema Banca Intesa ad Beograd – (opciono) root signing
program elektronski sertifikat,
Sertifikati informacionih resursa – bez smart kartice (kako za interne tako i za
eksterne korisnike):
o Za zaštitu e-mail sistema
o SSL sertifikati
o Code Signing sertifikati
o VPN (IPSec) sertifikati
8
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Ova Politika sertifikacihe je namenjena definisanju uslova za pružanje sertifikacionih
usluga od strane Banca Intesa Beograd CA za eksterne korisnike - pravna lica.
U okviru Praktičnih pravila rada (CPS – Sertificate Practise Statement) biće opisani
konkretni detalji oko implementacije i procedura rada Banca Intesa Beograd CA.
1.3 OID struktura Banca Intesa Beograd CA
U ovom poglavlju je definisana OID (Object IDentifier) struktura za potrebe Politika
sertifikacije i CPS-a koja se koristi pri izdavanju sertifikata u okviru PKI sistema
Banca Intesa ad Beograd.
Predlog se bazira na sledećoj strukturi:
1.3.6.1.4.1.24885.a.b.c.d.e.f.(g.h)
Broj 1.3.6.1.4.1 predstavlja opšti prefiks za private-enterprize broj sa sajta:
http://www.iana.org/assignments/smi-numbers,
24885 je Private Enterprize Number (PEN) dodeljen za Banca Intesa ad Beograd.
Slova iza PEN-a imaju sledeća predložena značenja:
a. Tip dokumenta
1 – Certificate Policy
2 – CPS
3 – neki drugi tip dokumenta
b. Globalni tip korisnika
1 – Interni korisnici
2 – Eksterni korisnici
c. Karakteristični tip korisnika
1 – Fizička lica
2 – Pravna lica
3 – Informacioni resursi
d. Posebni korisnici
b=1
1 – Zaposleni
2 – Admin Web korisnici
3 – Pojedinci iz partnerskih firmi
9
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
b=2
c=1
1 – Fizička lica – generički sertifikat
2 – Fizička lica – smart kartica (Maestro)
3 – Fizička lica – partneri – smart kartica
c=2
1 – Pravna lica – e-banking – smart kartica
2 – Pravna lica – web krediti – smart kartica
3 – Pravna lica – Broker assistance – smart kartica
4 – Pravna lica – partneri – smart kartica
b=1 ili 2
c=3
1 – E-mail sertifikat za automatsko slanje mailova
2 – SSL sertifikat
3 – Code Signing sertifikat
4 – VPN (IPSec) sertifikat
e. Način distribucije sertifikata
1 – Softverski sertifikati
2 – Mini CD
3 – Smart kartica
4 – SSCD smart kartica
f. Tip sertifikata
1 – Standardni ITU-T X.509 elektronski sertifikati
2 – Kvalifikovani ITU-T X.509 elektronski sertifikati
g.h Opciona slova koja mogu označavati verziju dokumenta, npr. 1.0
Prema ovom predlogu, imali bi sledeće primere oznaka dokumenata:
1. Politika sertifikacije za fizička lica home banking (online) eksterne korisnike koji
koriste mini CD:
1.3.6.1.4.1.24885.1.2.1.1.2.1
2. Politika sertifikacije za fizička lica home banking korisnike koji koriste smart karticu
(Maestro):
1.3.6.1.4.1.24885.1.2.1.2.3.1
10
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
3. Politika sertifikacije za pravna lica e-banking korisnike koji koriste smart karticu:
1.3.6.1.4.1.24885.1.2.2.1.3.1
U ovim primerima nisu korišćene oznake verzija dokumenata, slova g i h.
1.4 Identifikacija
Ovaj dokument predstavlja Politiku sertifikacije (u daljem tekstu CP – Sertificate
Policy) Banca Intesa Beograd CA za pravna lica - eksterne korisnike Banca Intesa ad
Beograd.
Banca Intesa Beograd CA izdaje sledeće vrste sertifikata za pravna lica – eksterne
korisnike:
Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog
bankarstva Banca Intesa ad Beograd – na smart kartici – e-banking kartici –
elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski
sertifikat),
Za pravna lica – aplikacija web krediti - na smart kartici – elektronski sertifikat
(u budućnosti potencijalni kvalifikovani elektronski sertifikat),
Za pravna lica – aplikacija Broker assistance – na smart kartici – elektronski
sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),
Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u
cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat
(u budućnosti potencijalni kvalifikovani elektronski sertifikat),
Identifikacioni podaci Banca Intesa Beograd CA su:
Banca Intesa Beograd CA
Banca Intesa ad Beograd
Bulevar Milutina Milankovića 1c
11070 Beograd
Srbija
www.bancaintesabeograd.com
Jedinstveno ime (Dname – issuer):
OU=Banca Intesa Beograd CA
O=Banca Intesa ad Beograd
C=RS
Sertifikati koji se izdaju u okviru ove Politike imaju sledeće oznake:
11
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Sertifikat za pravna lica – e-banking na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)
Sertifikat za pravna lica – web krediti na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)
Sertifikat za pravna lica – Broker assistance na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)
Sertifikat za pravna lica – partnere na smart kartici
OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)
1.5 Okruženje i primenljivost Politike sertifikacije
Svrha ove Politike sertifikacije je da, pre svega, opiše odgovornosti i prava CA (
Certification Authority - izdavač sertifikata), RA (Registration Authority - identifikator i
registrator korisnika) i različitih korisnika (korisnik – vlasnik sertifikata).
Kao deo ove Politike sertifikacije, opisane su procedure koje Banca Intesa Beograd
CA sprovodi u procesu izdavanja sertifikata.
1.5.1 Banca Intesa Beograd CA
Sertifikaciono telo je organizacija koja izdaje elektronske sertifikate. Banca Intesa
Beograd CA je sertifikaciono telo (CA). Banca Intesa Beograd CA je odgovorna za
publikaciju ove politike sertifikacije u cilju podrške izdavanju odreñenih tipova
elektronskih sertifikata. U tom smislu, ova Politike sertifikacije (CP), kao i pridruženi
dokument Banca Intesa Beograd CA CPS (Certificate Practice Statement),
predstavljaju odgovarajuću politiku i praktična pravila koja se primenjuju pri izdavanju
Banca Intesa Beograd CA elektronskih sertifikata, kao i eventualnog izdavanja
kvalifikovanih elektronskih sertifikata.
U cilju objavljivanja trećim stranama informacija koje se odnose na opozvane
sertifikate, neophodno je da se izvrši odgovarajuća publikacija liste povučenih
sertifikata (CRL – Certificate Revocation List).
Banca Intesa Beograd CA periodično objavljuje takvu listu u skladu sa uslovima
definisanim u ovom dokumentu.
1.5.2 Hijerarhijska struktura Banca Intesa Beograd CA
Banca Intesa Beograd CA predstavlja hijerarhijski PKI sistem za izdavanje
elektronskih sertifikata za interne i eksterne korisnike. U pomenutoj arhitekturi (slika
1.5.2.1), postoji:
12
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Banca Intesa Beograd Root CA
Banca Intesa Beograd Intermediate CA – interni korisnici
Banca Intesa Beograd Intermediate CA – eksterni korisnici
Banca Intesa Beograd Intermediate CA – Enterprise VPN
Banca Intesa
Beograd Root CA
Banca Intesa
Beograd
Intermediate CA –
interni korisnici
Banca Intesa
Beograd
Intermediate CA –
eksterni korisnici
Banca Intesa
Beograd
Intermediate CA –
Enterprise VPN
Slika 1.5.2.1: Hijerarhijska struktura Banca Intesa Beograd PKI sistema
Na slici 1.5.2.1, navedena sertifikaciona tela su realizovana na sledeći način:
Root CA – Digitrust PKI tehnologija
Intermediate CA za interne korisnike – MS 2008 Enterprise Subordinate
CA tehnologija
Intermediate CA za eksterne korisnike – Digitrust PKI tehnologija
Intermediate CA za interne korisnike Enterprise VPN – MS 2003
Standalone Subordinate CA tehnologija
Hijerarhijski PKI sistem Banca Intesa Beograd CA može eventualno uključiti i bilo
koje eksterno CA za koje Banca Intesa Beograd CA outsource-uje sertifikacione
usluge u skladu sa odgovarajućim Ugovorom.
Naime, Banca Intesa Beograd CA može omogućiti implementaciju sertifikacionih
servisa i drugim CA, kao trećim stranama, u skladu sa odgovarajućim dogovorenim
uslovima koji bi bili formalizovani odgovarajućim ugovorom. U okviru datog
sertifikacionog okruženja, takva CA bi predstavljala intermediate CA tela u okviru
Banca Intesa Beograd CA hijerarhije.
Meñutim, ova tela moraju da pružaju nivo servisa koji je ekvivalentan nivou koje
Banca Intesa Beograd CA obezbeñuje. U tom smislu, sprovodi se odgovarajuća
13
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
procedura akreditacije, auditinga i primene odgovarajućih procedura u kojima Banca
Intesa Beograd CA proverava sposobnost datog CA treće strane da izdaje
elektronske sertifikate u skladu sa ovom Politikom sertifikacije.
Prvo što se mora obezbediti u tom slučaju je da dato CA treće strane ima Politiku
sertifikacije koja je ekvivalentna i u skladu sa ovom Politikom. Drugim rečima,
pretpostavka je da je Banca Intesa Beograd CA prethodno proverilo i analiziralo
politiku sertifikacije, praktična pravila i procedure rada datog sertifikacionog tela
(uključujući Politiku sertifikacije, CPS – Sertificate Practice Statement i interna pravila
rada).
Pored gore navedene „root signing“ opcije, Banca Intesa Beograd CA može da
hostuje CA telo za neku drugu organizaciju, a pod dogovorenim uslovima uz
formalizovan ugovor o tome. U ovom slučaju, u Banca Intesa Beograd CA hijerarhiji i
mrežnoj infrastrukturi bi bio hostovan poseban server koji bi predstavljao
intermediate CA server u Banca Intesa Beograd CA hijerarhiji za datu organizaciju. U
ovom slučaju, data organizacija bi imala RA funkcionalnost za izdavanje sertifikata
koji bi bili generisani u okviru Banca Intesa Beograd CA infrastrukture.
Pored svih gore navedenih opcija, postoji mogućnost da se Banca Intesa Beograd
CA krossertifikuje sa nekim eksternim CA telom u cilju uzajamnog meñusobnog
priznavanja sertifikata, o čemu mora biti sklopljen odgovarajući ugovor.
1.5.3 Registraciona tela Banca Intesa Beograd CA
Zahtevi za izdavanjem sertifikata za odgovarajuće interne i eksterne korisnike Banke
se prikupljaju u ekspoziturama i regionalnim centrima Banca Intesa ad Beograd, kao i
u samoj centrali Banke, koji igraju ulogu Registracionih autoriteta (RA – Registration
Authority).
Izuzetno, zahteve za izdavanjem sertifikata internim korisnicima Banke mogu
podnositi i sami interni korisnici – zaposleni putem odgovarajuće automatizovane
procedure. To će biti predmet posebne Politike sertifikacije za interne korisnike.
Drugim rečima, Banca Intesa Beograd CA pristupa svojim korisnicima putem mreže
registracionih tela (centralno RA i mreža RA).
Ova registraciona tela mogu biti:
Banca Intesa Beograd CA na centralnoj lokaciji, kao centralno RA za interne i
eksterne korisnike banke, kao i za treće strane za koje Banca Intesa Beograd
CA eventualno outsource-uje usluge registracionog tela.
Ekspoziture i regionalni centri Banca Intesa ad Beograd kao RA za potrebe
internih i eksternih korisnika – za komitente (fizička i pravna lica) Banca Intesa
ad Beograd,
14
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Treće strane kao RA (još se nazivaju i lokalna registraciona teka LRA – Local
Registration Authority) za koje Banca Intesa Beograd CA outsource-uje
sertifikacione usluge, tj. izdavanje sertifikata. LRA igraju ulogu RA za potrebe
izdavanja sertifikata korisnicima iz njihovog domena od strane Banca Intesa
Beograd CA ili hostovanog CA za datu organizaciju u okviru Banca Intesa
Beograd CA infrastrukture.
RA tela interaktivno komuniciraju i sa korisnicima i sa Banca Intesa Beograd CA u
cilju isporuke sertifikacionih usluga krajnjim korisnicima.
U tom smislu, registraciona tela Banca Intesa Beograd CA:
Prihvataju, analiziraju, potvrñuju ili odbijaju registraciju
korisničkih zahteva za sertifikatima (aplikacije za sertifikate).
Registruju korisnike za korišćenje Banca Intesa Beograd CA sertifikacionih
usluga.
Sprovode sve korake u proceduri identifikacije korisnika što je definisano
važećim zakonskim dokumentima i Opštim pravilima rada Banca Intesa
Beograd CA.
Koriste službene i overene dokumente u cilju provere korisnikove aplikacije.
Nakon potvrde aplikacije korisnika, obaveštavaju na odgovarajući način Banca
Intesa Beograd CA u cilju izdavanja sertifikata.
Iniciraju proces povlačenja i zahtevaju povlačenje sertifikata od strane Banca
Intesa Beograd CA.
odgovarajućih
Registraciona tela Banca Intesa Beograd CA deluju lokalno u okviru njihovog
sopstvenog konteksta geografskog ili poslovnog partnerstva koje je potvrñeno i
autorizovano od strane Banca Intesa Beograd CA.
Banca Intesa Beograd CA registraciona tela deluju u skladu sa praksom,
procedurama i osnovnim dokumentima rada Banca Intesa Beograd CA. Ne postoji
ograničenje na broj registracionih tela koja mogu biti pridružena Banca Intesa
Beograd CA PKI sistemu.
Banca Intesa Beograd CA obezbeñuje registracionim telima u svojoj infrastrukturi
neophodnu tehnologiju i know-how u cilju postizanja visokog nivoa obučenosti u
skladu sa Banca Intesa Beograd CA funkcionalnim zahtevima.
1.5.4 Korisnici
Korisnici sertifikacionih usluga Banca Intesa Beograd CA su:
fizička lica (pojedinci)
pravna lica (kompanije)
15
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
informacioni resursi
Korisnici su strane koje:
Apliciraju za dobijanje sertifikata,
Identifikovani su kao vlasnici sertifikata u samom sertifikatu,
Poseduju privatni ključ koji matematički odgovara javnom ključu koji je
naveden u korisnikovom sertifikatu.
1.5.5 Treće strane
Treće strane su entiteti, kao na primer fizička lica (pojedinci) i/ili pravna lica
(kompanije), koja prihvataju sertifikate i verifikuju elektronski potpis odreñenih
elektronskih dokumenata koji su potpisani od strane korisnika Banca Intesa Beograd
CA, kao i koja vrše validaciju sertifikata izdatih od strane Banca Intesa Beograd CA.
Verifikacija digitalnog potpisa se vrši na bazi javnog ključa koji se nalazi u
korisnikovom sertifikatu.
U cilju provere validnosti primenjenog elektronskog sertifikata, treće strane moraju
uvek da provere status povučenosti datog sertifikata u okviru Banca Intesa Beograd
CA CRL liste pre nego što prihvate informacije koje su navedene u sertifikatu.
1.5.6 Ispravno korišćenje sertifikata
Banca Intesa Beograd CA sertifikati se mogu koristiti za većinu transakcija
elektronskog poslovanja i elektronskog bankarstva koje se baziraju na upotrebi
elektronskih sertifikata.
U takve transakcije spadaju:
Transakcije elektronskog bankarstva pravnih lica – kompanija,
Bankarske transakcije grañana – home banking,
Elektronska pošta,
Elektronski ugovori,
Pristup bezbednim web sajtovima (SSL autentifikacija) i drugim on-line
sadržajima,
Elektronsko potpisivanje dokumenata u elektronskom obliku,
Šifrovanje i dešifrovanje dokumenata u elektronskom obliku, itd.
Elektronska arhiva.
16
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
1.5.7 Definicije
U ovom dokumentu pojedini izrazi imaju sledeće značenje:
Aktivacioni podaci – Podaci, koji nisu ključevi, koji su zahtevani u cilju rada
kriptografskih modula i koji moraju biti zaštićeni (kao na primer PIN, passphrase, ili
komponente pri manuelnom razmenjivanju ključeva).
CA sertifikat – Sertifikat za dato CA izdat (digitalno potpisan) od strane drugog CA
(ukoliko se radi o Intermediate CA) ili samopotpisan (ukoliko se radi o root CA).
Politika sertifikacije – Imenovan skup pravila koji indicira primenljivost sertifikata na
odreñeno okruženje i/ili na klasu aplikacija sa zajedničkim bezbednosnim zahtevima.
Lanac (put) sertifikata – Ureñena sekvenca sertifikata koja se, zajedno sa javnim
ključem inicijalnog objekta u lancu (putu), procesira u cilju provere istog u poslednjem
objektu na putu.
Certificate Practice Statement (CPS) – Praktična pravila i procedure koje
sertifikaciono telo primenjuje u proceduri izdavanja sertifikata i koja, zajedno sa
Politikom sertifikacije, predstavljaju javni dokument.
Sertifikaciono telo – izdavač sertifikata (issuing CA) – U kontekstu odreñenog
sertifikata, sertifikaciono telo – izdavalac sertifikata je ono CA koje je izdalo (digitalno
potpisalo) sertifikat.
Kvalifikator politike – Informacija koja zavisi od politike sertifikacije i koja je
pridružena identifikatoru politike sertifikacije u okviru X.509 sertifikata. Ta ekstenzija
može da uključi i URL na kome se nalazi publikovan CPS datog sertifikacionog tela.
Registraciono telo (RA) – Entitet koji je odgovoran za identifikaciju i
autentifikaciju/registraciju korisnika/vlasnika sertifikata, kao i kreiranje zahteva za
izdavanje sertifikata, ali koji ne izdaje i ne potpisuje sertifikat (tj. RA vrši odgovarajuće
poslove (identifikaciju korisnika) i u tom smislu je delegirano od CA). Često se i
termin LRA (Local Registration Authority) koristi u istom kontekstu.
Treća strana – Primalac sertifikata koji proverava dati sertifikat i/ili proverava digitalni
potpis dobijenog elektronskog dokumenta primenom javnog ključa potpisnika iz
sertifikata. Treća strana proverava validnost sertifikata u istom procesu. Treća strana
može biti takoñe korisnik sertifikata izdatog od strane istog sertifikacionog tela ali i ne
mora.
Elektronski dokument – dokument u elektronskom obliku koji se koristi u pravnim
poslovima i drugim pravnim radnjama, kao i u upravnom, sudskom i drugom
postupku pred državnim organom.
Elektronski potpis – skup podataka u elektronskom obliku koji su pridruženi ili su
logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika.
17
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Kvalifikovani elektronski potpis – Elektronski potpis koji se kreira primenom
sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature
Creation Device) i koji se proverava putem kvalifikovanog elektronskog sertifikata
potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu po Zakonu o
elektronskom potpisu.
Potpisnik – lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko
potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica.
Podaci za formiranje elektronskog potpisa – jedinstveni podaci, kao što su kodovi
ili privatni kriptografski ključevi, koje potpisnik koristi za izradu elektronskog potpisa.
Sredstva za formiranje elektronskog potpisa – odgovarajuća tehnička sredstva
(softver i hardver) koja se koriste za formiranje elektronskog potpisa, uz korišćenje
podataka za formiranje elektronskog potpisa.
Sredstva za formiranje kvalifikovanog elektronskog potpisa – sredstva za
formiranje elektronskog potpisa koja ispunjavaju dodatne uslove utvrñene Zakonom
o elektronskom potpisu.
Podaci za proveru elektronskog potpisa – podaci, kao što su kodovi ili javni
kriptografski ključevi, koji se koriste za proveru elektronskog potpisa.
Sredstva za proveru elektronskog potpisa – odgovarajuća tehnička sredstva
(softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje
podataka za proveru elektronskog potpisa.
Sredstva za proveru kvalifikovanog elektronskog potpisa – sredstva za proveru
elektronskog potpisa koja ispunjavaju dodatne uslove utvrñene Zakonom o
elektronskom potpisu.
Elektronski sertifikat – elektronski dokument kojim se potvrñuje veza izmeñu
podataka za proveru elektronskog potpisa i identiteta potpisnika.
Kvalifikovani elektronski sertifikat – elektronski sertifikat koji je izdat od strane
sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i sadrži
podatke predviñene Zakonom o elektronskom potpisu.
Korisnik – pravno lice, preduzetnik, državni organ, organ teritorijalne autonomije,
organ lokalne samouprave ili fizičko lice kome se izdaje elektronski sertifikat.
Sertifikaciono telo – pravno lice koje izdaje elektronske sertifikate u skladu sa
odredbama Zakona o elektronskom potpisu.
Akreditacija – Formalna deklaracija od strane nadležnog autoriteta da izvesne
funkcije/entiteti zadovoljavaju specifične formalne zahteve.
18
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Aplikacija za sertifikat – Zahtev poslat od strane korisnika koji zahteva sertifikat
(aplikant) ka Sertifikacionom telu u cilju izdavanja elektronskog sertifikata.
Arhiva – Specifična baza podataka za čuvanje zapisa za odreñeni period vremena u
cilju bezbednosti, backup-a ili revizije.
Identifikacija – proces utvrñivanja identiteta pojedinca ili organizacije. U kontekstu
PKI sistema, identifikacija se odnosi na proces utvrñivanja da dato ime pojedinca ili
organizacije odgovara realnom identitetu pojedinca ili organizacije.
Autentifikacija – proces utvrñivanja da je identifikovani pojedinac ili organizacija koji
se prijavljuje za odreñeni servis pod datim imenom u stvari baš taj (pod tim imenom)
pojedinac ili organizacija. Drugim rečima, autentifikacija predstavlja proceduru
bezbednog logičkog predstavljanja korisnika, tj. utvrñivanja njegovog elektronskog
identiteta, odgovarajućoj aplikaciji ili servisu.
Autorizacija – procedura utvrñivanja prava koje neki identifikovani i autentifikovani
korisnik ima za korišćenje odgovarajuće aplikacije ili servisa.
Ekstenzije u sertifikatu – Dodatna polja u sertifikatu, pored osnovnih, koja daju
bliže informacije o vlasniku (korisniku) i izdavaocu (CA) sertifikata, itd.
Hijerarhija sertifikata – Sekvenca sertifikata bazirana na nivoima koja ima jedan
root CA sertifikat i subordinate/intermediate entitete, kao što su sertifikati drugih CA i
korisnici.
Upravljanje sertifikatima – Aktivnosti pridružene upravljanju sertifikatima uključuju
izdavanje, čuvanje, isporuku, objavljivanje i povlačenje sertifikata.
Lista povučenih sertifikata (CRL – Certificate Revocation List) – Lista izdata i
elektronski potpisana od strane CA koja uključuje povučene sertifikate, kao i razloge
njihovog povlačenja. Takva lista se mora koristiti od strane trećih strana uvek kada
treba proveriti validnost sertifikata i/ili verifikaciju elektronskog potpisa.
Serijski broj sertifikata – Sekvencijalni ili slučajni broj koji jedinstveno identifikuje
sertifikat u domenu datog CA.
Zahtev za dobijanje sertifikata (CSR – Sertificate Service Request) – Standardna
forma (po PKCS#10 preporuci) koja se koristi za slanje zahteva za dobijanjem
sertifikata.
Sertifikacija – Proces izdavanja elektronskog sertifikata.
Asimetrični par ključeva (key pair) – Privatni ključ i javni ključ, kao matematički par
koji se koriste za potrebe rada asimetričnog kriptografskog algoritma, kao što je na
primer RSA algoritam.
Privatni ključ – Matematički kod koji se koristi kao ključ za kreiranje elektronskog
19
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
potpisa i za raspakivanje digitalne envelope – dešifrovanje simetričnog ključa
primenom asimetričnog kriptografskog algoritma. Simetrični ključ je korišćen u
simetričnom kriptografskom algoritmu za šifrovanje dokumenta za datog korisnika.
Javni ključ – Matematički kod koji može biti javno objavljen (najčešće se objavljuje u
okviru X.509v3 elektronskog sertifikata) i koji se koristi za verifikaciju elektronskog
potpisa, kreiranog pomoću odgovarajućeg privatnog ključa koji je matematički par sa
datim javnim ključem, kao i za šifrovanje simetričnog ključa/podataka za korisnika koji
poseduje odgovarajući privatni ključ.
Šifrovanje – transformacija koja, primenom odgovarajućeg kriptografskog algoritma i
odgovarajućeg kriptografskog ključa, pretvara originalnu informaciju u oblik koji se ne
može koristiti (šifrat).
Dešifrovanje – transformacija kojom se iz šifrata dobija originalna informacija
primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog
ključa.
Kriptografija – nauka o primeni algoritama za zaštitu tajnosti informacija.
Kriptografski algoritmi – algoritmi po kojima se vrši transformacija originalne
informacije u šifrovanu informaciju (šifrat) i obratno, iz šifrata u originalnu infomaciju,
korišćenjem odgovarajućeg kriptografskog ključa.
Kriptografski ključ – tajna i slučajna informacija odgovarajuće dužine u bitovima (na
primer 128 ili 256 bita) koja se koristi u kriptografskim algoritmima, u procedurama
šifrovanja i dešifrovanja.
Simetrični kriptografski algoritmi – kriptografski algoritmi koji se koriste za
realizaciju šifrovanja u cilju zaštite tajnosti informacija. Algoritmi se nazivaju
simetričnim zato što se isti kriptografski ključ koristi za šifrovanje i za dešifrovanje.
Asimetrični kriptografski algoritmi – kriptografski algoritmi koji se koriste za
realizaciju tehnologije digitalnog potpisa kojim se obezbeñuje: autentičnost, integritet
i neporecivost transakcija. Algoritmi se nazivaju asimetričnim zato što se različiti
kriptografski ključevi koriste za šifrovanje i za dešifrovanje. Asimetrični kriptografski
algoritam koristi par ključeva, javni i privatni, i to javni u postupku šifrovanja i privatni
u postupku dešifrovanja.
Hash algoritmi – jednosmerni kriptografski algoritmi pomoću kojih se vrši
kriptografska transformacija informacije proizvoljne veličine u hash vrednost fiksne
veličine (160, 224, 256, 384 ili 512 bitova).
Identifikator objekta (Object identifier) – Sekvenca intedžerskih komponenti koja
može biti pridružena nekom registrovanom objektu i koja ima karakteristiku da je
jedinstvena u svim identifikatorima objekata u okviru specifičnog domena.
Repozitorijum – Baza podataka i/ili direktorijum na kome su publikovani osnovni
20
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
dokumenti rada CA, kao i eventualne druge informacije koje se odnose na pružanje
sertifikacionih usluga od strane datog CA (kao na primer publikacija svih izdatih
sertifikata ukoliko je to dozvoljeno prema Politici sertifikacije i ukoliko su korisnici dali
saglasnost za to, itd.).
Povlačenje sertifikata – Permanentno ukidanje validnosti datog sertifikata i njegovo
smeštanje na CRL listu.
Deljena tajna – Deo kriptografske tajne koja je podeljena na unapred definisan broj
fizičkih tokena, kao na primer smart kartica.
Smart kartica – Hardverski token koji sadrži čip na kome može da se izvrše
odgovarajuće kriptografske funkcije, kao što su: elektronski potpis, šifrovanje,
generisanje para asimetričnih ključeva, itd.
Korisnički ugovor – Ugovor izmeñu korisnika i CA u cilju obezbeñenja
sertifikacionih usluga.
1.5.8 Kontaktni detalji
Banca Intesa Beograd CA ima registrovane kancelarije na sledećoj adresi:
Banca Intesa Beograd CA
Banca Intesa ad Beograd
Bulevar Milutina Milankovića 1c
11070 Novi Beograd
Srbija
1.6 Opšte odredbe
1.6.1 Obaveze
Banca Intesa Beograd CA garantuje da će sprovoditi sve procedure definisane u ovoj
Politici sertifikacije. Banca Intesa Beograd CA koristi korisnički ugovor, ovu CP i CPS
u cilju sprovoñenja propisanih uslova korišćenja Banca Intesa Beograd CA sertifikata
od strane korisnika i trećih strana.
Učesnici od interesa za ovu CP u čitavom Banca Intesa Beograd CA PKI sistemu koji
imaju odgovarajuće obaveze uključuju CA, RA, korisnike, treće strane i druge
učesnike.
21
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
1.6.1.1 Banca Intesa Beograd CA obaveze
Do nivoa specificiranog u odgovarajućim poglavljima ove CP, Banca Intesa Beograd
CA garantuje:
Punu saglasnost sa ovom CP i svim njenim eventualnim dodacima u trenutku
kada se publikuju.
Obezbeñivanje infrastrukture i sertifikacionih usluga, uključujući uspostavu i
održavanje Banca Intesa Beograd CA repozitorijuma i odgovarajućeg web
sajta u cilju pružanja sertifikacionih usluga.
Obezbeñivanje sigurnih mehanizama koji uključuju mehanizam generisanja
ključeva, zaštite ključeva, kao i procedure deljenja tajni u skladu sa svojim
sopstvenim PKI sistemom.
Obezbeñivanje promptnog
sopstvenog privatnog ključa.
Obezbeñivanje i validaciju aplikacionih procedura za različite tipove sertifikata
koje su javno raspoložive.
Izdavanje elektronskih sertifikata u skladu sa ovom CP i ispunjavanje
sopstvenih obaveza.
Obaveštavanje korisnika odgovarajućim elektronskim putem da su sertifikati
generisani za njih i o načinu kako korisnici mogu da preuzmu sertifikate.
Obaveštavanje aplikanta ukoliko Banca Intesa Beograd CA nije sposobno da
izvrši validaciju korisničke aplikacije za dobijanje sertifikata u skladu sa ovom
CP.
Nakon prijema validnog zahteva od strane RA koje radi u okviru Banca Intesa
Beograd CA mreže promptno izdaje Banca Intesa Beograd CA sertifikat u
skladu sa ovom CP.
Povlačenje sertifikata koji su izdati u skladu sa ovom CP nakon prijema
validnog zahteva za povlačenje sertifikata od strane autorizovanog lica koje
može da zahteva povlačenje.
Objavljivanje izdatih sertifikata u skladu sa ovom CP.
Obezbeñivanje podrške korisnicima i trećim stranama kao što je opisano u
ovoj CP.
Obezbeñivanje obnavljanja sertifikata u skladu sa ovom CP.
Regularno periodično objavljivanje CRL liste u skladu sa ovom CP.
Obaveštavanje trećih strana o statusu povučenosti sertifikata putem
publikovanja CRL lista na Banca Intesa Beograd CA repozitorijumu.
Dostavljanja kopije ove CP i ostalih primenjlivih politika po zahtevu neke od
strana.
obaveštavanja
u
slučaju
kompromitacije
22
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Banca Intesa Beograd CA potvrñuje da, osim gore navedenih, nema drugih obaveza
po ovoj CP.
1.6.1.2 Banca Intesa Beograd RA obaveze
Banca Intesa Beograd RA se obavezuje na:
Prijem aplikacija za izdavanje sertifikata u skladu sa ovom CP.
Izvršavanje svih aktivnosti na verifikaciji i proveri identiteta i autentičnosti
aplikanata u skladu sa usvojenim procedurama i ovom CP.
(Opciono) Dostavljanje zahteva aplikanata Banca Intesa Beograd CA u
elektronski potpisanoj poruci (zahtev za izdavanjem sertifikata).
Zapisivanje svih aktivnosti u žurnalu dogañaja.
Prijem, verikaciju i prosleñivanje ka Banca Intesa Beograd CA svih zahteva za
povlačenjem izdatih sertifikata u skladu sa usvojenim procedurama i ovom CP.
Verifikaciju pouzdanosti i autentičnosti informacija dostavljenih od strane
korisnika u vreme procedure obnavljanja sertifikata u skladu sa ovom CP.
1.6.1.3 Obaveze korisnika
Sem ako nije drugačije definisano u ovoj CP, korisnici su odgovorni za:
Posedovanje odgovarajućih znanja i, ako je neophodno, pohañanje
odgovarajuće obuke za korišćenje elektronskih sertifikata i sertifikacionih
usluga.
Bezbedno generisanje sopstvenog asimetričnog para ključeva, ukoliko ih
generišu sami, korišćenjem bezbednih sistema.
Obezbeñivanje korektnih i preciznih informacija u njihovoj komunikaciji sa
Banca Intesa Beograd RA i Banca Intesa Beograd CA.
Osiguranje da javni ključ dostavljen do Banca Intesa Beograd CA na
sertifikaciju odgovara (predstavlja matematički par) privatnom ključu koji će se
koristiti za elektronsko potpisivanje dokumenata i transakcija.
Ispravnost javnog ključa dostavljenog do Banca Intesa Beograd CA na
sertifikaciju.
Sem u slučaju obnavljanja sertifikata, generisanje novog asimetričnog para
ključeva koji će se koristiti sa pridruženim sertifikatom koji se zahteva od
strane Banca Intesa Beograd CA.
Upoznavanje, razumevanje i saglasnost sa svim stavovima i uslovima u ovoj
CP i drugim pridruženim politikama koje su objavljene na Banca Intesa
Beograd CA repozitorijumu, uključujući CPS.
23
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Uzdržavanje od narušavanja integriteta i proizvoñenja neispravnim sertifikata
izdatog od strane Banca Intesa Beograd CA.
Korišćenje Banca Intesa Beograd CA sertifikata samo za legalne i
autorizovane svrhe u skladu sa ovom CP.
Obaveštavanje Banca Intesa Beograd CA ili Banca Intesa Beograd RA o bilo
kojim promenama informacija koje su prethodno dostavljene.
Prekid korišćenja Banca Intesa Beograd CA izdatog sertifikata ukoliko je bilo
koja informacija u sertifikatu postala nevalidna.
Prekid korišćenja Banca Intesa Beograd CA izdatog sertifikata ukoliko sam
sertifikat postane nevalidan.
Odstranjivanje sertifikata sertifikacionog tela koji je nevalidan iz bilo koje
aplikacije i/ili bilo kog ureñaja gde je bio instaliran.
Korišćenje samo jednog sertifikata za verifikaciju elektronskog potpisa u
datom trenutku.
Uzdržanje od korišćenja svog privatnog ključa koji odgovara javnom ključu koji
je sertifikovan od strane Banca Intesa Beograd CA, u izdatom sertifikatu, za
potrebe izdavanja drugih sertifikata sa istim Common Name poljem.
Razumno korišćenje Banca Intesa Beograd CA izdatog sertifikata pod
različitim okolnostima.
Sprečavanje kompromitacije, gubljenja, objavljivanja, modifikacije ili bilo kog
drugog neautorizovanog korišćenja svog privatnog ključa.
Korišćenje bezbednih ureñaja i proizvoda koji obezbeñuju odgovarajuću
zaštitu privatnih ključeva.
Bilo koje aktivnosti i propuste partnera ili njihovih agenata u smislu
generisanja, zadržavanja, odlaganja, ili uništavanja bilo kog privatnog ključa.
Uzdržavanje od dostavljanja do Banca Intesa Beograd CA, ili bilo kog Banca
Intesa Beograd CA direktorijuma, bilo kakvog materijala koji sadrži stavove
koji ugrožavaju bilo koji zakon ili bilo koje pravo bilo koje strane.
Zahtevanje povlačenja sertifikata u slučaju dogañaja koji materijalno utiče na
integritet Banca Intesa Beograd CA izdatog sertifikata.
Na odgovarajući način nadzire rad agenata ili partnera koji su aplicirali za
korišćenje Banca Intesa Beograd CA u ime datog korisnika.
Kontrolisanje podataka koje agenti dostavljaju do Banca Intesa Beograd CA i
obaveštavanje Banca Intesa Beograd CA o bilo kojim pogrešnim tumačenjima
i propustima načinjenim od strane agenta.
1.6.1.4 Obaveze trećih strana
Strana koja se oslanja na izdati sertifikat od strane Banca Intesa Beograd CA
obavezna je da:
24
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Poseduje odgovarajuća znanja o korišćenju elektronskih sertifikata i drugih
tehnologija vezanih za usluge sertifikacije.
Primi obaveštenje u vezi politike sertifikacije (CP) Banca Intesa Beograd CA i
navedenih uslova koji važe za treće strane.
Verifikuje izdati sertifikat od strane Banca Intesa Beograd CA primenom
izmeñu ostalog i CRL liste (Banca Intesa Beograd CA CRL) i u skladu sa
procedurom validacije sertifikacionog puta.
Veruje u Banca Intesa Beograd CA izdati sertifikat samo ukoliko se sve
informacije koje se odnose na takav sertifikat mogu verifikovati da su korektne
i ažurne.
Razumno osloni i pouzda na Banca Intesa Beograd CA izdati sertifikat u
skladu sa odgovarajućim okolnostima.
1.6.1.5 Obaveze vezane za repozitorijum
Strane u komunikaciji (uključujući korisnike i treće strane) koje pristupaju Banca
Intesa Beograd CA repozitorijumu i web sajtu u potpunosti su saglasne sa
odredbama ove CP, kao i sa bilo kojim drugim uslovima korišćenja koje je Banca
Intesa Beograd CA moglo učiniti dostupnim.
Strane u komunikaciji demonstriraju prihvatanje uslova korišćenja navedenih u ovoj
CP dostavljanjem upita vezanih za status elektronskih sertifikata ili bilo kojim drugim
načinom koji dokazuje korišćenje ili oslanjanje na obezbeñene informacije ili usluge.
Banca Intesa Beograd CA repozitorijum uključuje ili sadrži:
Mogućnost pretrage u cilju pronalaženja izdatog elektronskog sertifikata,
ukoliko je korisnik dozvolio takvu mogućnost.
Mogućnost validacije statusa sertifikata prilikom verifikacije elektronskog
potpisa koji je kreiran korišćenjem privatnog ključa koji odgovara javnom ključu
koji je uključen u sertifikat.
Informacije publikovane na Banca Intesa Beograd CA web sajtu (ova CP,
CPS, korisnički ugovor, CRL, itd.).
Bilo koje druge usluge koje Banca Intesa Beograd CA može reklamirati ili
obezbediti putem svog web sajta.
Banca Intesa Beograd CA čini sve u svojoj moći u cilju osiguranja da strane koje
pristupaju repozitorijumu dobijaju pouzdane, ažurne i tačne informacije. Banca Intesa
Beograd CA, meñutim, ne može prihvatiti bilo kakvu odgovornost koja je van
ograničenja definisanih ovom CP.
25
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
2. Objavljivanje i repozitorijumi
Banca Intesa Beograd CA objavljuje informacije u vezi elektronskih sertifikata koje
izdaje na on-line repozitorijumu.
Banca Intesa Beograd CA zadržava pravo da publikuje statusne informacije o
sertifikatima i na repozitorijumu neke treće strane ukoliko je to pogodno.
Banca Intesa Beograd CA ima on-line repozitorijum dokumenata u kojima se
objavljuju informacije o praktičnim pravilima i politikama rada, uključujući CPS kao i
ovu CP.
Banca Intesa Beograd CA zadržava pravo da učini raspoloživim i publikuje
informacije u vezi sopstvenih politika i procedura rada putem bilo kog pogodnog
načina.
Participanti u sertifikacionim uslugama se obaveštavaju da će Banca Intesa Beograd
CA možda publikovati informacije koje su oni dostavili, i ukoliko su dali saglasnost za
objavljivanje, na javno pristupačnim direktorijumima uz pridružene statusne
informacije o elektronskim sertifikatima.
Iz razloga njihove osetljvosti i poslovne tajne, Banca Intesa Beograd CA neće
publikovati interna pravila rada koja se odnose na izvesne podkomponente i
elemente koji uključuju izvesne bezbednosne kontrole, procedure koje se odnose na
upravljanje ključevima, distribuiranu odgovornost, bezbednost registraciona tela, root
signing proceduru i sve ostale bezbednosno osetljive procedure.
Banca Intesa Beograd CA publikuje statusne informacije o povučenosti digitalnih
sertifikata u odreñenim intervalima, kako je to naznačeno u CPS dokumentu.
Banca Intesa Beograd CA održava raspoloživim pristup do svog javnog
repozitorijuma trećim stranama sa svrhom validacije samog Banca Intesa Beograd
CA sertifikata.
Banca Intesa Beograd CA može ograničiti ili zabraniti pristup odreñenim uslugama,
kao što su publikovanje statusnih informacija o bazama podataka treće strane,
odreñenim privatnim direktorijumima, itd.
Iako je pristup Banca Intesa Beograd CA repozitorijumu i direktorijumima besplatan,
Banca Intesa Beograd CA zadržava pravo da naplaćuje odreñena specifična
korišćenja svojih servisa.
26
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
3. Identifikacija i autentifikacija korisnika
Banca Intesa Beograd CA održava dokumentovana praktična pravila i procedure u
cilju autentifikacije identiteta i/ili drugih atributa aplikanata/krajnjih korisnika Banca
Intesa Beograd CA sertifikata a što se izvršava pre samog izdavanja sertifikata.
Banca Intesa Beograd CA koristi potvrñene procedure u cilju prihvatanja aplikacija od
entiteta koji žele da postanu članovi Banca Intesa Beograd CA PKI hijerarhije.
Banca Intesa Beograd CA autentifikuje zahteve strana koje žele da povuku sertifikate
u skladu sa ovom politikom.
Banca Intesa Beograd CA održava odgovarajuće procedure u cilju odreñivanja
praktičnih pravila za dodeljivanje imena, uključujući i prepoznavanje “trademark”
prava u izvesnim imenima.
3.1 Nazivi
U cilju identifikacije korisnika, Banca Intesa Beograd CA sprovodi odgovarajuća
pravila dodeljivanja imena i identifikacije koja uključuje tipove imena pridruženih
subjektu, kao na primer X.500 “distinguished” imena.
Kada aplicira za Banca Intesa Beograd CA sertifikat, ime aplikanta mora biti u
potpunosti sa odgovarajućim značenjem sem ako to nije eksplicitno dozvoljeno u
relevantnom proizvodnom opisu i u Banca Intesa Beograd CA CPS dokumentu.
Banca Intesa Beograd CA izdaje sertifikate aplikantima koji dostavljaju
dokumentovane aplikacije koje sadrže ime koje se može verifikovati.
Izvesni tipovi sertifikata, kao što su sertifikati izdati u skladu sa Evropskom direktivom
1999/93/EC mogu, meñutim, biti izdati uz korišćenje pseudonima koji je povezan sa
pravim imenom koje Banca Intesa Beograd CA čuva u svojoj arhivi.
Banca Intesa Beograd CA ne izdaje anonimne sertifikate korisnicima.
Imena pridružena korisnicima sertifikata su jedinstvena u domenu Banca Intesa
Beograd CA pošto se uvek koriste zajedno sa jedinstvenim identifikacionim brojem
datog profila korisnika (Serial Number polje u Dname polju korisnika).
Banca Intesa Beograd CA ne prihvata “trademark” oznake, loga ili drugi grafički ili
tekstualni materijal koji je zaštićen od kopiranja a uključen je u njegove sertifikate.
27
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
3.2 Inicijalna provera identiteta
U cilju realizacije procedure identifikacije i autentifikacije za inicijalnu korisnikovu
registraciju za svaki tip subjekta (CA, RA, korisnici ili drugi učesnici) Banca Intesa
Beograd CA sprovodi sledeće korake:
(Opciono) Korisnik identifikovan u polju subjekta mora dokazati posedovanje
asimetričnog privatnog ključa koji odgovara javnom ključu koji treba da bude
sertifikovan od strane Banca Intesa Beograd CA. Takav odnos može biti
dokazan na primer putem elektronskog potpisa u zahtevu za izdavanjem
sertifikata (PKCS#10 samopotpisani zahtev).
Zahtevi Banca Intesa Beograd CA u smislu identifikacije i autentifikacije
organizacija koje su aplicirale za Banca Intesa Beograd CA sertifikate,
uključuju ali nisu ograničene na konsultovanje odreñenih baza podataka treće
strane koje jednoznačno identifikuju organizaciju ili proverom dokumenata o
udruživanju date organizacije.
Organizacije koje apliciraju za Banca Intesa Beograd CA sertifikate uključuju
ali nisu ograničene na druge CA (treće strane), RA, korisnike pravna lica (u
slučaju da su sertifikati izdati samim organizacijama ili informacionim
resursima kontrolisanim od strane te organizacije), ili druge kompanijske
korisnike.
U cilju identifikacije i autentifikacije za izdavanje sertifikata individualnoj organizaciji –
pravnom licu koje aplicira za Banca Intesa Beograd CA sertifikat (CA, RA, korisnici (u
slučaju sertifikata izdatih organizacijama ili informacionim resursima kontrolisanim od
strane organizacije) ili drugi učesnici), Banca Intesa Beograd CA može primeniti
korake koji uključuju ali nisu ograničeni na:
Provera dokumenata kao što su identifikacione kartice, pasoš, vozačka
dozvola za ovlašćeno fizičko lice datog pravnog lica.
Utvrñivanje identiteta organizacije na bazi dostavljene dokumentacije.
Zahtev je da se pojedinac, ovlašćeno lice, fizički pojavi u Banca Intesa
Beograd RA u odgovarajućoj fazi pre nego što se sertifikat izda.
Primenu dodatnih zahteva za organizaciju aplikanta kao što su potpisani
autorizacioni dokumenti (ovlašćenja) ili neka druga identifikaciona oznaka
organizacije.
Kada Banca Intesa Beograd CA pri izdavanju sertifikata uključuje informacije o
odgovarajućim ovlašćenjima. kao što su specifična prava ili dozvole, uključujući
dozvolu za dobijanje sertifikata u cilju realizacije odgovarajućih aktivnosti u ime date
organizacije, Banca Intesa Beograd CA može zahtevati specijalnu pismenu dozvolu
od strane date organizacije.
28
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
3.3 Identifikacija i autentifikacija zahteva za obnavljanje
ključeva
Ovo poglavlje nije primenljivo u okviru ove CP.
3.4 Identifikacija i autentifikacija zahteva za povlačenje
sertifikata
U cilju sprovoñenja procedura identifikacije i autentifikacije zahteva za povlačenjem
sertifikata za odgovarajuće tipove subjekata (CA, RA, korisnici ili drugi učesnici),
Banca Intesa Beograd CA zahteva:
Lično podnošenje zahteva za povlačenjem u odgovarajućoj RA kancelariji
Banca Intesa Beograd CA popunjavanjem odgovarajućeg formulara – na
identičan način kao i u slučaju podnošenja zahteva za dobijanjem sertifikata,
Korišćenje on-line autentifikacionog mehanizma (autentifikacija putem
digitalnog sertifikata, PIN broja, autorizacionog koda, itd.) pri čemu se zahtevi
upućuju odgovarajućem Banca Intesa Beograd RA ili putem web komunikacije
do samog CA. Banca Intesa Beograd RA sprovodi takve zahteve do Banca
Intesa Beograd CA u cilju realizacije procedure povlačenja sertifikata.
Jedan mogući način bezbednog dostavljanja zahteva za povlačenjem sertifikata su
digitalno potpisani zahtevi od strane samih korisnika koji žele da im se povuče
sertifikat (ukoliko je takva mogućnost dozvoljena u okviru CPS) ili od strane RA ili CA
ovlašćenih službenika.
29
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
4. Operativni
sertifikata
zahtevi
u
vezi
životnog
ciklusa
Za sva intermediate sertifikaciona tela, registraciona tela, korisnike ili druge učesnike
postoji stalna obaveza da informišu Banca Intesa Beograd CA o svim promenama u
informacijama koje su objavljene u sertifikatu za čitav perod operativnog rada takvog
sertifikata. Odreñene druge obaveze se takoñe mogu dodatno primeniti.
4.1 Aplikacija za dobijanje sertifikata
Aplikanti koji podnose zahtev za dobijanje sertifikata odgovorni su za dostavljanje
pouzdanih informacija u njihovim aplikacijama.
Što se tiče aplikacije za izdavanje korisnikovog sertifikata, Banca Intesa Beograd CA
zahteva da aplikant korisnik bude ili taj pojedinac ili njegov pravni predstavnik koji će
podneti aplikaciju za sertifikat.
Korisnici sprovode enrolment proces (proces identifikacije i registracije) sa Banca
Intesa Beograd CA, RA ili odgovarajućim partnerom pod ugovorom koji zahteva:
Popunjavanje aplikacione forme.
Generisanje asimetričnog para ključeva (ova operacija se može izvršiti kod
korisnika ili u samom CA).
Isporuku generisanog javnog ključa, koji odgovara privatnom ključu iz
asimetričnog para ključeva, do Banca Intesa Beograd CA na sertifikaciju.
Demonstriranje Banca Intesa Beograd CA sertifikacionom telu da aplikant
poseduje privatni ključ koji odgovara javnom ključu koji je dostavio do Banca
Intesa Beograd CA.
Prihvatanje korisničkog ugovora.
4.2 Procesiranje aplikacije za dobijanje sertifikata
Nakon prijema aplikacije datog korisnika, Banca Intesa Beograd CA ili Banca Intesa
Beograd RA vrše definisanu identifikacionu i autentifikacionu proceduru u cilju
validacije aplikacije za izdavanje sertifikata.
Nakon toga, Banca Intesa Beograd CA ili Banca Intesa Beograd RA potvrñuju ili
odbijaju aplikaciju za izdavanje sertifikata. Takvo potvrñivanje ili odbijanje ne mora
neophodno da bude obrazloženo aplikantu ili bilo kojoj drugoj strani.
30
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Banca Intesa Beograd CA mora da izvrši sve identifikacione aktivnosti i procesira
aplikaciju za izdavanje sertifikata u okviru vremenskog perioda od sedam (7) radnih
dana od dobijanja validnog zahteva.
Nakon dostavljanja aplikacije za izdavanje sertifikata ili zahteva za obnavljanjem
sertifikata Banca Intesa Beograd RA potvrñuje ili odbija dostavljene zahteve.
Nakon potvrñivanja dostavljenih informacija u aplikaciji za izdavanje sertifikata,
Banca Intesa Beograd RA potvrñuje ili odbija aplikaciju za izdavanje sertifikata.
Nakon potvrñivanja aplikacije za izdavanje sertifikata, Banca Intesa Beograd RA
šalje zahtev za izdavanje sertifikata do Banca Intesa Beograd CA.
4.3 Izdavanje sertifikata
Nakon dostave validnog zahteva korisnika za izdavanjem sertifikata, Banca Intesa
Beograd CA sprovodi proces izdavanja odgovarajućeg sertifikata koji se sastoji od:
Aktivnosti koje se sprovode od strane CA tokom procesa izdavanja, kao na
primer procedura kada CA verifikuje digitalni potpis korisnika ili RA službenika
na zahtevu i samo generisanje sertifikata.
Mehanizama notifikacije koji se koriste od strane CA da bi se informisao
korisnik o tome da mu je sertifikat izdat i da može da ga preuzme. U tom
smislu, CA može da pošalje e-mailom izdati sertifikat korisniku, ili se može
poslati informacija na koji način korisnik može download-ovati sertifikat sa
repozitorijuma CA.
Isporuke samog sertifikata korisniku, kao i ureñaja za generisanje digitalnog
potpisa (smart kartica) na kome je izgenerisan asimetrični par ključeva, ukoliko
je ta operacija izvršena u okviru CA tela.
Ova procedura se detaljno opisuje u CPS dokumentu.
4.4 Prihvatanje sertifikata
Izdati Banca Intesa Beograd CA sertifikat se smatra prihvaćenim od strane korisnika
ukoliko se bilo koji od dole navedenih uslova ispuni:
Potvrda prijema svojeručnim potpisom na odgovarajućoj dostavnici,
Potvrda prijema poslata elektronskm poštom od strane korisnika,
Korišćenje standardne on-line forme uz odgovarajući elektronski potpis
korisnika gde je to moguće primeniti,
Korišćenje sertifikata prvi put uz odgovarajući elektronski potpis korisnika,
31
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Petnaest (15) dana nakon preuzimanja ukoliko korisnik ne javi da postoje bilo
kakvi problemi u izdatom sertifikatu.
Bilo koja primedba na prihvatanje izdatog sertifikata mora biti eksplicitno dostavljena
do Banca Intesa Beograd CA, kao sertifikacionom telu – izdavaocu.
Potvrda odbijanja koja uključuje sva eventualna polja u sertifikatu koja sadrže
pogrešne informacije mora takoñe biti dostavljena.
4.5 Korišćenje sertifikata i asimetričnog para ključa
U ovom poglavlju se definišu odgovornosti koje se odnose na koriščenje
asimetričnog para ključeva i sertifikata, i to:
Odgovornosti korisnika – korisnik se obavezuje da će koristiti privatni ključ i
izgenerisani sertifikat od strane Banca Intesa Beograd CA samo u
predviñenim aplikacijama Banke (e-banking, web krediti, Broker assistance,
itd.) koje su navedene u ovoj CP, kao i u skladu sa definisanim načinom
korišćenja ključa u samom sertifikatu (Key Usage i Enhanced Key Usage
ekstenzije). Korišćenje privatnog ključa i sertifikata predstavlja deo
korisnikovog ugovora sa CA. U tom smislu, korisnik može koristiti svoj privatni
ključ samo nakon prihvatanja odgovarajućeg sertifikata. Takoñe, korisnik mora
prestati da koristi svoj privatni ključ nakon isticanja perioda validnosti ili
povlačenja izdatog sertifikata.
Odgovornost treće strane – treća strana je obavezna da prihvata izdate
sertifikate Banca Intesa Beograd CA samo u onim aplikacijama koje su
definisane u ovoj CP, kao i sa predviñenim načinom korišćenje sertifikata
definisanom u samom sertifikatu. Treća strana je obavezna da propisno i
uspešno primenjuje operaciju javnog ključa koji ekstrahuje iz izdatog sertifikata
i odgovorna je da sprovodi proveru statusa povučenosti datog sertifikata
korišćenjem metoda koji je definisan u CP i CPS dokumentima Banca Intesa
Beograd CA.
4.6 Obnavljanje sertifikata
Obnavljanje sertifikata predstavlja proceduru izdavanja novog sertifikata korisniku
bez promene javnog ključa korisnika, niti bilo kog drugog podatka koji se nalazi u
postojećem sertifikatu, izuzev perioda validnosti.
Neophodno je da aplikacije koje koriste sertifikate obezbede servis upozorenja
korisnika mesec dana pre isteka sertifikata da je sertifikat prišao kraju svog životnog
veka i da ga treba obnoviti.
Obnovu vrši sam korisnik putem odgovarajućeg servisa u okviru web aplikacije
Banca Intesa Beograd CA.
32
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Sertifikaciono telo automatski obnavlja sertifikat, tj. automatski procesira dostavljeni
zahtev i dostavlja obnovljeni sertifikat korisniku u cilju smeštanja na smart karticu
(ukoliko je prvi sertifikat izdat na smart kartici).
Autentifikacija korisnika u cilju obnove sertifikata se vrši na isti način kao i
autentifikacija na samu aplikaciju – pomoću PIN-a i smart kartice (dvo-faktorska
autentifikacija).
4.7 Generisanje novog para ključeva i sertifikata korisnika
Korisnici kojima je sertifikat istekao, ukoliko žele da dobiju novi sertifikat, moraju da
podnesu zahtev za izdavanje sertifikata koji je isti kao i svaki novi zahtev za dobijanje
sertifikata. U tom slučaju, generiše se novi par asimetričnih ključeva.
Takoñe, ukoliko je sertifikat korisnika povučen, a razlog za povlačenje je
kompromitacija ključa, korisnik može dobiti novi sertifikat samo na osnovu
generisanog novog para asimetričnih ključeva i putem procedure koja je identična
dostavljanju zahteva za izdavanje novog sertifikata.
Nakon dostavljanja zahteva za izdavanjem novog sertifikata, dalja procedura je u
potpunosti identična kao i procedura za dobijanje prvog sertifikata.
4.8 Modifikacije sertifikata korisnika
Ovo poglavlje nije primenljivo u okviru ove CP.
4.9 Suspenzija i povlačenje sertifikata
4.9.1 Povlačenje sertifikata
Nakon odgovarajućeg zahteva od strane Banca Intesa Beograd RA ili samog
korisnika, Banca Intesa Beograd CA vrši povlačenje izdatog elektronskog sertifikata
u slučaju:
Gubitka, krañe, modifikacije, neautorizovanog objavljivanja ili neke druge
kompromitacije privatnog ključa korisnika sertifikata.
Da je subjekt sertifikata narušio materijalne obaveze koje su definisane ovom
CP ili u CPS dokumentu.
Da izvršenje odgovarajućih obaveza lica koja su navedena u ovoj CP kasni ili
je sprečeno usled prirodne katastrofe, računarskog ili komunikacionog otkaza,
33
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
ili usled drugog uzroka koji izlazi van kontrole datog lica, i kao rezultat,
informacije o drugom licu su materijalno ugrožene ili kompromitovane.
Da se desila promena odreñenih informacija koje se sadrže u sertifikatu datog
lica.
Ako se desi neki od gore pomenutih dogañaja, korisnik mora odmah da kontaktira
Banca Intesa Beograd RA ili Banca Intesa Beograd CA u cilju dostavljanja zahteva
za povlačenjem sertifikata.
Pomenuti kontakt može biti on-line ili putem nekih drugih kanala. Banca Intesa
Beograd CA povlači sertifikat promptno nakon verifikacije identiteta strane koja je
zahtevala povlačenje (službenik Banca Intesa Beograd RA, CA ili sam korisnik) i
potvrdom da je zahtev podnet u skladu sa procedurom zahtevanom u ovoj CP, kao i
u CPS dokumentu.
Zahtev za povlačenjem sertifikata odgovarajućem ovlašćenom licu nekog pravnog
lica može podneti i zakonski zastupnik datog pravnog lica ukoliko iz bilo kog razloga
prestaje potreba da navedeni ovlašćeni radnik poseduje sertifikat.
Verifikacija identiteta može biti izvršena na osnovu informacionih elemenata koji su
sadržani u identifikacionim podacima koje je korisnik dostavio do Banca Intesa
Beograd RA.
Nakon ispunjenja pomenutih uslova, Banca Intesa Beograd CA izvršava promptnu
aktivnost u cilju povlačenja sertifikata.
Treće strane moraju koristiti on-line resurse koje Banca Intesa Beograd CA čini
raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele
da se oslone. Lista povučenih sertifikata (CRL – Certificate Revocation List) Banca
Intesa Beograd CA se ažurira na svakih 15 dana.
Treće strane moraju biti u saglasnosti sa Banca Intesa Beograd CA politikom a
posebno sa obavezama trećih strana publikovanim u ovoj CP ili CPS dokumentu.
4.9.2 Suspenzija sertifikata
Funkcija suspenzije Banca Intesa Beograd CA sertifikata je podržana.
Zahtev za suspenzijom može biti dostavljen od strane korisnika ili Banca Intesa
Beograd RA. Zahtev se dostavlja lično u RA, odgovarajućom digitalno potpisanom
porukom od strane korisnika ili Banca Intesa Beograd RA ili putem nekih drugih
kanala komunikacije.
Zahtev se može dostaviti i od strane zakonskog predstavnika pravnog lica za čije
ovlašćeno lice je izdat dati sertifikat.
34
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Suspenzija sertifikata traje onoliko dugo koliko traju i uslovi zbog kojih je suspenzija i
zahtevana. Kada ovi uslovi prestanu da važe, korisnik, ili zakonski zastupnik datog
pravnog lica, može zahtevati reaktivaciju svog sertifikata ili se to vrši automatski.
Banca Intesa Beograd CA publikuje sve povučene i suspendovane sertifikate u svojoj
CRL listi.
Za vreme suspenzije, ili nakon povlačenja sertifikata, period operativnog rada datog
sertifikata se smatra završenim.
4.10 Servisi provere statusa sertifikata
Banca Intesa Beograd CA publikuje sve povučene i suspendovane sertifikate u svojoj
CRL listi. Lista povučenih sertifikata (CRL – Certificate Revocation List) Banca Intesa
Beograd CA se ažurira na svakih 15 dana.
Treće strane moraju koristiti on-line resurse koje Banca Intesa Beograd CA čini
raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele
da se oslone.
4.11 Prestanak korišćenja sertifikata
Nakon prestanka korišćenja sertifikata izdatog od strane Banca Intesa Beograd CA,
dati sertifikat mora biti povučen. Prestanak korišćenja sertifikata može biti iz sledećih
razloga:
Korisnik želi da prekine korišćenje sertifikacionih servisa Banca Intesa
Beograd CA.
Banca Intesa Beograd CA je prestalo sa pružanjem usluga sertifikacije.
4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika
Ovo poglavlje u ovom trenutku nije primenljivo u okviru ove CP.
Meñutim, stvaranjem uslova za generisanje višestrukih parova asimetričnih ključeva
za korisnike u okviru Banca Intesa Beograd CA, jedan par ključeva će biti generisan
u okviru CA i služiće za šifrovanje dokumenata putem procedure digitalne envelope
za datog korisnika.
U cilju omogućavanja dešifrovanja dokumenata šifrovanih za datog korisnika u
incidentnim slučajevima i za eventualne službene potrebe, neophodno je da se dati
privatni ključ čuva na bezbedan način na nekom arhivnom serveru u okviru CA. U
vezi toga će biti definisane i odgovarajuće procedure za bezbedno čuvanje privatnog
35
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
ključa, za postupak aktiviranja datog privatnog ključa, kao i definicija u kojim sve
slučajevima privatni ključ odreñenog korisnika može biti izvučen iz arhivnog servera.
Napominjemo još jednom da se ovde radi o privatnom ključu koji isključivo služi za
dešifrovanje digitalne envelope. Privatni ključ korisnika kojim se vrši digitalni potpis
ne sme biti nigde čuvan izuzev na smart kartici korisnika.
36
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
5. Upravne,
kontrole
operativne
i
fizičke
bezbednosne
Ovo poglavlje opisuje sve one bezbednosne kontrole koje ne spadaju direktno u
tehničke kontrole i koje se koriste od strane Banca Intesa Beograd CA u cilju
realizacije funkcija generisanja ključeva, autentifikacije subjekta, izdavanja sertifikata,
povlačenja sertifikata, revizije i arhiviranja.
Ove ne-tehničke bezbednosne kontrole su kritične za poverenje u sertifikate izdate
od strane Banca Intesa Beograd CA pošto nedostatak bezbednosti može
kompromitovati operativni rad CA rezultujući na primer u kreiranju sertifikata i CRL sa
pogrešnim informacijama ili kompromitacijom privatnog ključa CA.
5.1 Fizičke bezbednosne kontrole
Banca Intesa Beograd CA implementira fizičke kontrole u svojim prostorijama
uključujući sledeće:
Banca Intesa Beograd CA bezbedne prostorije su locirane u prostoru koji
odgovara potrebama izvršenja operacija visoke bezbednosti. Postoje
označene zone sa fizičkom kontrolom pristupa i zaključane kancelarije sa
odgovarajućim sefovima.
Fizički pristup je ograničen implementacijom odgovarajućih mehanizama
kontrole pristupa iz jedne u drugu zonu bezbednosti, kao i u zonu visoke
bezbednosti. U tom smislu, CA operacije su locirane u okviru bezbedne
računarske sobe koja je podržana fizičkim monitorisanjem i bezbednosnim
alarmima, kao i da je obezbeñena podrška da prelazak iz zone u zonu može
biti izveden samo korišćenjem tokena (beskontaktnih kartica) i listi kontrole
pristupa.
Napajanje i ventilacija se izvršavaju sa redundansom visokog nivoa.
Prostorije su zaštićene od poplava.
Prevencija i zaštita, kao i mere u odnosu na zaštitu od požara su
implementirane.
Medijumi se čuvaju na bezbedan način. Backup medijumi se takoñe čuvaju na
odvojenoj lokaciji koja je fizički obezbeñena i zaštićena od požara i poplava.
Iznošenje smeća se takoñe kontroliše.
5.2 Proceduralne kontrole
Banca Intesa Beograd CA sprovodi kadrovsku i upravnu praksu koja obezbeñuje
razumnu sigurnost u poverljivost i kompetenciju zaposlenih, kao i zadovoljavajuće
37
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
performance u vezi sa njihovim dužnostima u domenu tehnologija koje se odnose na
elektronski potpis i PKI sisteme.
Svaki zaposleni Banca Intesa Beograd CA potpisuje izjavu da će se pridržavati
pravne regulative u vezi zaštite podataka, kao i da će zadovoljiti sve postavljene
zahteve u vezi sa poverljivošću.
Svi zaposleni u Banca Intesa Beograd CA koji izvršavaju operacije povezane sa
upravljanjem ključevima, kao i bilo koje druge operacije koje materijalno utiču na
takve operacije, smatraju se dužnostima na poverljivim pozicijama.
Poverljive uloge/dužnosti u Banca Intesa Beograd CA, izmeñu ostalih, su: RA i CA
administrator, sistem evidentičar, kao i administrator za ICT bezbednost.
Banca Intesa Beograd CA sprovodi inicijalno istraživanje svih zaposlenih koji su
kandidati za poverljive uloge u cilju odreñivanja njihove poverljivosti i kompetencije.
Tamo gde se zahteva dualna kontrola, potrebno je da najmanje dva poverljiva
zaposlena Banca Intesa Beograd CA iskažu njihova podeljena znanja u cilju
omogućavanja izvršenja tekućih operacija.
Drugim rečima, u okviru Banca Intesa Beograd CA, nijednu osetljivu operaciju ne
može izvršiti samo jedan zaposleni. Takoñe, svaka uloga/dužnost definiše
odgovarajuće zahteve u pogledu identifikacije i autentifikacije korisnika.
Takoñe, definisano je koje uloge/dužnosti mogu biti kombinovane od strane jednog
zaposlenog a koje to ne smeju.
5.3 Kadrovske bezbednosne kontrole
5.3.1 Kvalifikacija i iskustvo
Banca Intesa Beograd CA izvršava neophodne aktivnosti u cilju provere zahtevane
biografije, kvalifikacija, kao i iskustva neophodnog u cilju realizacije u okviru
konteksta kompetencije specifičnog posla.
Takve provere biografije tipično uključuju:
Kriminalne osude za ozbiljne zločine,
Pogrešne prezentacije informacija od strane kandidata,
Odgovarajuće reference
.
38
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
5.3.2 Procedura provere biografije
Banca Intesa Beograd CA realizuje relevantne provere eventualnih zaposlenih na
bazi statusnih izveštaja koji su izdati od strane kompetentnih autoriteta, izjava trećih
strana ili izjava samih potencijalnih zaposlenih.
5.3.3 Zahtevi za obučenošću
Banca Intesa Beograd CA obezbeñuje obuku za svoje zaposlene u cilju realizacije
funkcija poslovanja CA i RA.
5.3.4 Ponovna obuka
Periodično ažuriranje obuke može takoñe biti izvršeno u cilju uspostave kontinuiteta i
ažurnosti znanja zaposlenih, kao i odgovarajućih procedura.
5.3.5 Rotacija poslova
Ovo poglavlje nije primenljivo u okviru ove CP.
5.3.6 Kaznene mere u odnosu na zaposlene
Banca Intesa Beograd CA ima odgovarajuće mere za kažnjavanje zaposlenih za
neovlašćene aktivnosti, neovlašćeno korišćenje autoriteta, kao i neovlašćeno
korišćenje sistema za svrhu sankcija za odreñeno neposlovno i rizično ponašanje,
koje može biti različito u zavisnosti od različitih okolnosti.
5.3.7 Kontrole nezavisnih lica pod ugovorom
Nezavisna lica pod ugovorom su subjekti istih procedura zaštite privatnosti i uslova
poverljivosti kao i zaposleni Banca Intesa Beograd CA.
5.3.8 Dokumentacija za inicijalnu obuku i ponovnu obuku
Banca Intesa Beograd CA čini dostupnom svu dokumentaciju zaposlenima koja se
odnosi na inicijalnu obuku, doobuku ili za druge svrhe.
5.4 Procedure bezbednosnih provera/revizije
Procedure audit logovanja uključuju logovanje dogañaja i reviziju samog sistema, i
implementirane su za svrhu održavanja bezbednog okruženja.
39
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
U tom smislu, Banca Intesa Beograd CA implementira sledeće kontrole:
Banca Intesa Beograd CA zapisuje dogañaje koji uključuju ali nisu ograničeni
na operacije vezane za životni ciklus sertifikata, pokušaje pristupa sistemu,
kao i zahteve poslate sistemu.
Banca Intesa Beograd CA čuva audit logove u realnom vremenu, koji se
kasnije procesiraju i arhiviraju na sedmičnom nivou. U slučaju alarma ili
incidentnog dogañaja, obaveštava se nadležna osoba iz Službe za ICT
bezbednost i CA koja je odgovorna za upravljanje incidentima.
Audit logovi se samo mogu videti od strane autorizovanog osoblja – sistem
evidentičari.
Banca Intesa Beograd CA implementira mehanizme zaštite audit logova od
modifikacije i brisanja tako da niko ne može izvršiti pomenute operacije.
Banca Intesa Beograd CA implementira procedure backup-a audit logova.
Subjekat koji je prouzrokovao odreñeni audit dogañaj se ne obaveštava o samoj
audit aktivnosti.
Banca Intesa Beograd CA realizuje s vremena na vreme procenu ranjivosti sistema.
5.5 Arhiviranje zapisa
Zahtevi za čuvanjem zapisa se primenjuju kako na Banca Intesa Beograd CA tako i
na Banca Intesa Beograd RA.
Opšte politike čuvanja zapisa Banca Intesa Beograd CA uključuju sledeće:
Tipove zapisa – Banca Intesa Beograd CA čuva na bezbedan način zapise o
Banca Intesa Beograd CA izdatim elektronskih sertifikatima, audit podacima,
informacije o aplikacijama za izdavanje sertifikata, kao i dokumentaciju o
samim aplikacijama za izdavanje sertifikata.
Period čuvanja – Banca Intesa Beograd CA čuva na bezbedan način
pomenute zapise o Banca Intesa Beograd CA elektronskim sertifikatima za
period koji je naznačen u Banca Intesa Beograd CA CPS dokumentu.
Zaštita arhive – uslovi za zaštitu arhive uključuju:
o Zapise koje samo sistem revizori (zaposleni kojima su pridružene
dužnosti čuvanja podataka) mogu da vide i arhiviraju.
o Zaštitu u odnosu na modifikaciju arhive, kao što je čuvanje podataka na
medijumu na koga se može upisati samo jednom.
o Zaštitu u odnosu na brisanje arhive.
40
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
o Zaštitu u odnosu na kvarenje karakteristika medijuma vremenom na
kojima se arhiva čuva, kao na primer realizacija zahteva da se podaci
periodično migriraju na sveže medijume.
Proceduru back-up-a arhive.
Zahteve za definisanjem vremenskog pečata zapisa u arhivi.
Zahteve za procedurom čuvanja barem dve odvojene kopije arhive koje su
pod kontrolom dve različite osobe.
Procedure u cilju dobijanja i verifikacije arhivskih informacija – U cilju dobijanja
i verifikacije arhivskih informacija Banca Intesa Beograd CA i Banca Intesa
Beograd RA održavaju zapise pod jasnom hijerarhijskom kontrolom i sa jasnim
opisom posla. Banca Intesa Beograd CA čuva zapise u elektronskoj ili
papirnoj formi. Banca Intesa Beograd CA može zahtevati od svojih RA,
korisnika ili njihovih agenata da dostave odgovarajuća dokumenta u cilju
podrške ovog zahteva. Ovi zapisi mogu biti čuvani u elektronskoj, papirnoj i u
bilo kojoj drugoj formi za koju Banca Intesa Beograd CA smatra da je
odgovarajuća. Banca Intesa Beograd CA može da izmeni način čuvanja
zapisa ako je to eventualno potrebno da bude u saglasnosti sa odreñenim
zakonskim propisima.
5.6 Izmena ključeva
Banca Intesa Beograd CA poseduje proceduru, detaljno opisanu u CPS dokumentu,
koja se sprovodi u slučaju isteka sertifikata sertifikacionog tela ili povlačenja
sertifikata sertifikacionog tela u skladu sa uslovima definisanim u ovoj CP.
U oba slučaja, vrši se generisanje novog para ključeva seritifikacionog tela i
distribucija novog sertifikata CA svim korisnicima i zainteresovanim stranama, kao i u
slučaju prvog generisanog sertifikata CA.
5.7 Kompromitacija i oporavak u slučaju katastrofe
U Posebnim internim pravilima rada, Banca Intesa Beograd CA dokumentuje
procedure koje treba izvršiti pri rešavanju incidenata, kao i izveštavanja u vezi sa
eventulanom kompromitacijom ključeva.
Banca Intesa Beograd CA takoñe dokumentuje procedure oporavka koje se koriste
ukoliko su računarski resursi, softver, i/ili podaci neispravni ili se sumnja da su
neispravni.
Banca Intesa Beograd CA teži da ponovo uspostavi bezbedno okruženje u koracima
koji uključuju, ali nisu ograničeni samo na, povlačenje neispravnih, ili se sumnja da
su neispravni, sertifikata odgovarajućih entiteta. Nakon toga, Banca Intesa Beograd
CA može ponovo izdati novi sertifikat datom entitetu.
41
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Plan kontinualnog poslovanja se implementira da osigura nastavak poslovanja nakon
prirodne ili druge katastrofe.
5.8 Završetak rada CA ili RA
Pre nego što prekine svoje aktivnosti pružanja sertifikacionih usluga, Banca Intesa
Beograd CA:
Obezbeñuje svojim korisnicima koji imaju validne sertifikate obaveštenje o
nameri da prestane sa pružanjem sertifikacione usluge, tj. da prestane da
izvršava aktivnosti u svojstvu CA.
Povlači sve sertifikate koji su još uvek validni (tj. one koji nisu povučeni ili im je
istekao rok važnosti) nakon obaveštenja a bez zahteva za saglasnošću
korisnika.
Blagovremeno obaveštava o povlačenju sertifikata sve korisnike na koje se to
odnosi.
Čini razumne mere u cilju zaštite zapisa koje čuva u skladu sa ovom CP.
Ukoliko je to moguće, obezbeñuje odgovarajuće mere sukcesije u smislu
ponovnog izdavana sertifikata od strane drugog CA koje je sukcesor –
nastavljač izdavanja sertifikata datog CA – i koje poštuje isti/ekvivalentni CP
dokument.
42
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
6. Tehničke bezbednosne kontrole
Ovo poglavlje definiše tehničke bezbednosne mere koje primenjuje Banca Intesa
Beograd CA u cilju zaštite svojih kriptografskih ključeva i aktivacionih podataka (kao
na primer PIN-ovi, lozinke, itd.).
Bezbednosno upravljanje ključevima je kritično u cilju osiguranja da su svi ključevi i
aktivacioni podaci zaštićeni i da se koriste isključivo od strane autorizovanih
zaposlenih.
Takoñe, definisane su i druge tehničke bezbednosne kontrole koje se koriste od
strane CA da se bezbedno izvršavaju funkcije generisanja ključeva, autentifikacije
korisnika, registracije korisnika, izdavanja sertifikata, povlačenja sertifikata, revizije i
arhiviranja.
U ovom poglavlju se takoñe definišu tehničke bezbednosne kontrole nad
repozitorijumima, registracionim telima, korisnicima i drugim učesnicima.
6.1 Generisanje i instalacija asimetričnog para ključeva
6.1.1 Proces generisanja privatnog ključa Banca Intesa Beograd CA
Banca Intesa Beograd CA koristi bezbedan proces generisanja svog root
asimetričnog para ključeva u skladu sa dokumentovanom procedurom.
Banca Intesa Beograd CA distribuira deljene tajne za svoje privatne ključeve.
Banca Intesa Beograd CA je vlasnik privatnih ključeva i poseduje autoritet da
prenese odgovarajuće deljene tajne na autorizovane nosioce deljenih tajni.
6.1.1.1 Korišćenje root privatnog ključa Banca Intesa Beograd CA
Privatni ključ root Banca Intesa Beograd CA se koristi za elektronsko potpisivanje
Banca Intesa Beograd CA sertifikata (pre svega za izdavanje intermediate CA
sertifikata), liste povučenih sertifikata, kao i akreditovanih root-potpisanih entiteta (CA
trećih strana)).
Druge svrhe korišćenja root privatnog kljuća Banca Intesa Beograd CA su
zabranjene.
43
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
6.1.1.2 Tip privatnog ključa Banca Intesa Beograd CA
Za potrebe svog root privatnog ključa i odgovarajuće potpisivanje, Banca Intesa
Beograd CA koristi SHA-1/RSA kombinaciju hash i asimetričnog algoritma sa
dužinom ključa od 2048 bita i peridom validnosti sertifikata od 10 godina. Period
validnosti privatnog ključa Banca Intesa Beograd Root CA je 5 godina.
Za svoje intermediate/operativne/online CA privatne ključeve i odgovarajući algoritam
za elektronsko potpisivanje, Banca Intesa Beograd CA koristi SHA-1/RSA
kombinaciju hash i asimetričnog algoritma sa dužinom ključa od 2048 bita, kao i
period validnosti sertifikata od 5 godina. Period validnosti privatnog ključa Banca
Intesa Beograd Intermediate CA je 2 godine.
Banca Intesa Beograd CA zadržava pravo na izmenu gore navedenih kombinacija
algoritama ukoliko se u teoriji i praksi pokažu slabosti navedenih algoritama i svetska
kriptografska javnost preporuči pouzdanije algoritme, kao i u slučajevima definisanja
novih standarda za hash i asimetrične algoritme.
6.1.2 Generisanje ključa Banca Intesa Beograd CA
Banca Intesa Beograd CA bezbedno generiše i štiti svoje sopstvene privatne
ključeve, korišćenjem bezbednih i pouzdanih sistema, i primenjuje neophodne
preventivne mere u cilju sprečavanja kompromitacije ili neautorizovanog korišćenja.
Banca Intesa Beograd CA implementira i dokumentuje procedure generisanja
ključeva u skladu sa ovom CP. Banca Intesa Beograd CA primenjuje javne,
internacionalne i Evropske standarde u vezi bezbednih i pouzdanih sistema.
6.1.3 Ureñaji za generisanje ključeva Banca Intesa Beograd CA
Generisanje asimetričnog para ključeva Banca Intesa Beograd CA se dešava u
okviru bezbednog kriptografskog ureñaja, smart kartici, koji zadovoljava
odgovarajuće zahteve u skladu sa meñunarodnim standardima, kao na primer FIPS
140-2 L3 ili Common Criteria EAL4+ standardom (CWA 14169).
6.1.4 Kontrole generisanja ključeva Banca Intesa Beograd CA
Generisanje asimetričnog para ključeva Banca Intesa Beograd CA zahteva kontrolu
od više od jednog, na odgovarajući način autorizovanog, zaposlenog koji imaju
poverljive pozicije i dužnosti.
Autorizacija procedure generisanja ključeva se mora izvršiti od strane više od jednog
člana upravne strukture Banca Intesa Beograd CA.
44
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
6.2 Zaštita privatnog ključa
Banca Intesa Beograd CA koristi odgovarajuće kriptografske ureñaje u cilju
realizacije zadataka upravljanja ključevima CA: hardverski bezbednosni moduli (HSM
- Hardware Security Modules) i/ili smart kartice.
Ovi ureñaji zadovoljavaju zahteve iz FIPS PUB 140-2 nivo 2 ili viši i Common Criteria
EAL4+ standard (CWA 14169), koji garantuju, izmeñu ostalog da je bilo koji pokušaj
narušavanja integriteta ureñaja ili kriptografske memorije istovremeno detektovan, i
da privatni ključevi ne mogu da napuste ureñaj.
Hardverski i softverski mehanizmi koji štite privatne ključeve CA su dokumentovani u
Posebnim internim pravilima rada. Dokumenti prikazuju da su mehanizmi zaštite CA
ključa u najmanju ruku ekvivalentne snage kao i sami CA ključevi koji se štite.
HSM ureñaji i/ili smart kartice ne smeju da napuštaju Banca Intesa Beograd CA
prostorije izuzev retkih prilika unapred definisanih premeštanja i preseljenja. Banca
Intesa Beograd CA čuva zapise u vezi svih tih premeštanja ili preseljenja.
U slučaju da odgovarajući HSM zahteva održavanje ili popravku, koja se ne može
izvršiti u okviru Banca Intesa Beograd CA prostorija, oni se onda bezbedno prenose
do njihovog proizvoñača uz brisanje kompletnog kriptografskog materijala na njemu i
uz poštovanje svih neophodnih bezbednosnih mera, detaljno opisanih u CPS
dokumentu.
Privatni ključ Banca Intesa Beograd CA se ne obnavlja.
Privatni ključ Banca Intesa Beograd CA će biti uništen na kraju svog životnog ciklusa.
6.2.1 Čuvanje privatnog ključa Banca Intesa Beograd CA
Banca Intesa Beograd CA koristi bezbedni kriptografski ureñaj da čuva svoje privatne
ključeve u skladu sa meñunarodnim zahtevima iskazanim u FIPS 140-2 L2 i/ili viši ili
Common Criteria EAL4+ standardu (CWA 14169).
6.2.1.1 Kontrole čuvanja ključa Banca Intesa Beograd CA
Procedura čuvanja privatnog ključa Banca Intesa Beograd CA zahteva višestruke
kontrole od strane na odgovarajući način autorizovanog osoblja sa poverljivim
rolama.
Autorizacija procedure čuvanja ključeva i autorizacija odgovarajućeg osoblja mora
biti izvršena od strane više od jednog člana upravne strukture.
45
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
6.2.1.2 Backup ključeva Banca Intesa Beograd CA
Banca Intesa Beograd CA privatni ključ se ne backup-uje, tj. ne prave se rezervne
kopije privatnog ključa.
6.2.1.3 Procedura deljenja tajni
Procedura deljenja tajni Banca Intesa Beograd CA koristi višestruke autorizovane
nosioce u cilju da zaštiti i poboljša poverljivost privatnih ključeva.
Privatni ključ Banca Intesa Beograd CA se koristi pod uslovima definisanim u okviru k
od n kontrole od strane više zaposlenih sa poverljivim ulogama.
Nosioci deljenih tajni (staraoci) Banca Intesa Beograd CA imaju zadatak da aktiviraju
i deaktiviraju privatni ključ. Privatni ključ je tada aktivan u definisanom periodu
vremena.
6.2.1.4 Prihvatanje deljenih tajni
Pre nego što nosilac deljene tajne prihvati deljenu tajnu on mora lično da se upozna
sa kreiranjem, ponovnim kreiranjem i distribucijom tajne na sledećeg člana lanca
poverljivosti.
Nosilac deljene tajne može primiti deljenu tajnu na fizičkom medijumu, kao što je
odreñeni hardverski kriptografski modul (na primer smart kartica) koji je potvrñen za
korišćenje od strane Banca Intesa Beograd CA.
Banca Intesa Beograd CA čuva pisane zapise u vezi distribucije deljene tajne.
6.2.2 Distribucija deljenih tajni za aktivaciju privatnog ključa Banca
Intesa Beograd CA
Banca Intesa Beograd CA dokumentuje sopstvenu distribuciju deljenih tajni za
aktivaciju svog privatnog ključa i ima mogućnost da izmeni način distribucije tokena u
slučaju da staraoci/nosioci tokena zahtevaju da budu zamenjeni u njihovim rolama
kao staraoci/nosioci tokena.
6.2.3 Uništavanje privatnog ključa Banca Intesa Beograd CA
Banca Intesa Beograd CA privatni ključevi se uništavaju na kraju njihovog životnog
veka u cilju garancije da oni neće nikada biti ponovo aktivirani i korišćeni.
Privatni ključevi Banca Intesa Beograd CA se uništavaju tako što se isti unište, kao i
brisanjem njihovih deljenih delova/tajni.
46
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Proces uništavanja ključeva je dokumentovan u Posebnim internim pravilima rada i
odgovarajući zapisi su arhivirani.
6.3 Neki aspekti upravljanja parom ključeva
Banca Intesa Beograd CA arhivira svoj sopstveni javni ključ.
Banca Intesa Beograd CA izdaje korisničke sertifikate za periodom korišćenja kao
što je naznačeno u sertifikatima.
6.4 Aktivacioni podaci
Banca Intesa Beograd CA bezbedno procesira aktivacione podatke pridružene
privatnim ključevima CA, kao i svim drugim privatnim ključevima u datom PKI sistemu
(intermediate CA, RA, korisnici).
6.5 Bezbednosne kontrole računara
Banca Intesa Beograd CA implementira bezbednosne kotrole nad računarima koji se
koriste u okviru datog PKI sistema.
6.6 Životni ciklus bezbednosnih kontrola
Banca Intesa Beograd CA realizuje periodične razvojne i bezbednosne upravljačke
kontrole.
6.7 Mrežne bezbednosne kontrole
Banca Intesa Beograd CA održava i primenjuje visok nivo sistema mrežne
bezbednosti, uključujući primenu firewall ureñaja i intrusion detection/prevention
sistema.
6.8 Vremenski pečat
Ovo poglavlje nije primenljivo u okviru ove CP.
47
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
7. Profili sertifikata i CRL lista
Ovo poglavlje specificira formate sertifikata i CRL lista koje izdaje Banca Intesa
Beograd CA.
7.1 Profili sertifikata
Banca Intesa Beograd CA izdaje sledeće vrste sertifikata:
Root CA za interne i eksterne korisnike – na smart kartici;
Intermediate CA za eksterne korisnike – na smart kartici;
Intermediate CA (Microsoft - Enterprise) za interne korisnike;
Intermediate CA (Microsoft – Standalone) za uspostavu interne VPN (IPSec)
mreže u Banci – Enterprise VPN
(Opciono) različiti Intermediate CA sertifikati
Sertifikati internih korisnika
o Zaposleni Banke – elektronski sertifikat na smart kartici – CID
(Corporate ID)
o AdminWeb korisnici – elektronski sertifikat na smart kartici (posebna
smart kartica)
o Poslovni saradnici - pojedinci iz partnerskih firmi – elektronski sertifikat
na smart kartici (USB smart card token – iKey) za udaljeni pristup mreži
Banke (VPN (IPSec))
Sertifikati eksternih korisnika
o Fizička lica
Za fizička lica – na mini CD medijumu za potrebe elektronskog
home banking sistema – elektronski sertifikat (generički),
(Opciono) Za fizička lica za potrebe realizacije elektronskog
home banking sistema – na smart kartici – Maestro
multiaplikativna EMV platna kartice – elektronski sertifikat (u
budućnosti potencijalni kvalifikovani elektronski sertifikat),
(Opciono) Za fizička lica – partnere ili specijalne korisnike Banca
Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na
smart kartici – elektronski sertifikat (u budućnosti potencijalni
kvalifikovani elektronski sertifikat),
o Pravna lica
Za pravna lica, registrovana za obavljanje delatnosti, za potrebe
elektronskog bankarstva Banca Intesa ad Beograd – na smart
48
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
kartici – e-banking kartici – elektronski sertifikat (u budućnosti
potencijalni kvalifikovani elektronski sertifikat),
Za pravna lica – aplikacija web krediti - na smart kartici –
elektronski sertifikat (u budućnosti potencijalni kvalifikovani
elektronski sertifikat),
Za pravna lica – aplikacija Broker assistance – na smart kartici elektronski sertifikat (u budućnosti potencijalni kvalifikovani
elektronski sertifikat),
(Opciono) Za pravna lica – partnere ili specijalne korisnike Banca
Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na
smart kartici – elektronski sertifikat (u budućnosti potencijalni
kvalifikovani elektronski sertifikat),
(Opciono) Za pravna lica koja žele da budu CA u okviru PKI
sistema Banca Intesa ad Beograd – (opciono) root signing
program elektronski sertifikat,
Sertifikati informacionih resursa – bez smart kartice (kako za interne tako i za
eksterne korisnike):
o Za zaštitu e-mail sistema
o SSL sertifikati
o Code Signing sertifikati
o VPN (IPSec) sertifikati
Ovaj dokument predstavlja Politiku sertifikacije (u daljem tekstu CP –
Sertificate Policy) Banca Intesa Beograd CA za pravna lica - eksterne korisnike
Banca Intesa ad Beograd.
7.1.1 Opšti profil sertifikata
Opšti profil Banca Intesa Beograd CA sertifikata:
Ime profila
Period validnosti
certifikata
Period validnosti privatnog
ključa
Basic Constraints
Ekstenzija
Čuvanje ključeva
Zajedničke ekstenzije
End Entity|CA, Path length=x
Smart kartica | mini CD
Authority Key Identifier
Subject Key Identifier
Authority Information Access
CRL Distribution Point
49
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Dužina ključeva
Key Usage ekstenzija –
moguće vrednosti
Enhanced Key Usage
Ekstenzija
1024, 2048 bita
Digital Signature Certificate Signing
Non-Repudiation CRL Signing
Key
Encipher Only
Encipherment
Decipher Only
Data
Encipherment
Key Agreement
Client Authentication
Server Authentication
Email Protection
Code Signing
Timestamping
OID Politike
URL za politiku
certifikacije
7.1.2 Profil Root CA sertifikata Banca Intesa Beograd CA
Profil root CA sertifikata:
Ime profila
Period validnosti
certifikata
Period validnosti privatnog
ključa
Ekstenzija osnovnih
ograničenja
Čuvanje ključeva
Zajedničke ekstenzije
Dužina ključa
Ekstenzija korišćenja
ključa
10 godina
5 godina
CA
Smart kartica
Authority Key Identifier
Subject Key Identifier
2048 bita
Certificate Signing
Off-Line CRL signing
CRL Signing
7.1.3 Profil Intermediate CA sertifikata Banca Intesa Beograd CA
Profil intermediate CA sertifikata:
Ime profila
Period validnosti
certifikata
Period validnosti privatnog
5 godina
2 godine
50
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
ključa
Ekstenzija osnovnih
ograničenja
Čuvanje ključeva
Zajedničke ekstenzije
Dužina ključa
Ekstenzija korišćenja
ključa
CA
Smart kartica
Authority Key Identifier
Subject Key Identifier
Authority Information Access
CRL Distribution Point
2048 bita
Certificate Signing
Off-Line CRL signing
CRL Signing
7.1.3 Profil sertifikata korisnika – pravnog lica Banca Intesa
Beograd CA
Banca Intesa Beograd CA publikuje u okviru CPS dokumenta profile sertifikata koje
koristi za sve tipove sertifikata koje izdaje. U ovom dokumentu je prikazan generalni
profil sertifikata za pravno lice koje izdaje Banca Intesa Beograd CA.
Ime profila
Period validnosti
certifikata
Period validnosti
privatnog ključa
Ekstenzija osnovnih
ograničenja
Čuvanje ključeva
Zajedničke ekstenzije
Standardni sertifikat za pravno lice
3 godine
3 godine
End Entity
Smart kartica
Authority Key Identifier
Subject Key Identifier
Authority Information Access
CRL Distribution Point
Certificate Policies
Dužina ključa
1024 bita
Ekstenzija korišćenja Digital Signature
Key Encipherment
ključa
Data Encipherement
Ekstenzija
Client Authentication (1.3.6.1.5.5.7.3.2)
naprednog korišćenja Email Protection (1.3.6.1.5.5.7.3.4)
ključa
OID Politike
1.3.6.1.4.1.24885.1.2.2.x.3.1
URL za CPS
http://trust.bancaintesabeograd.com/resources/Banca
Intesa ad Beograd Digitrust_cps.pdf
51
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Pri čemu navedno slovo „x“ u okviru OID-a politike sertifikacije uzima vrednost 1, 2, 3
ili 4, prema sledećem:
x=1 – e-banking korisnik,
OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)
x=2 – korisnik web kredita
OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)
x=3 – korisnik Broker assistance sistema
OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)
x=3 – pravna lica partneri
OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)
7.2 Profil CRL liste
U skladu sa ITU-T X.509v2 i IETF PKIX RFC 2459, Banca Intesa Beograd CA
podržava izdavanje CRL lista koje su u saglasnosti sa sledećim uslovima:
Brojevi verzija su podržani za CRL liste,
CRL i CRL ekstenzije su popunjene i njihova kritičnost je posebno
naznačena.
Profil Banca Intesa Beograd CA CRL (Sertificate Revocation List) liste je prikazan u
sledećoj tabeli:
Version
Issuer
Name
[Version 1]
CountryName=[Root Sertificate Country Name],
OrganizationName=[Root Sertificate Organization],
commonName=[Root Sertificate Common Name]
This Update [Date of Issuance]
Next Update [Date of Issuance + 15 days]
Signature Algorithm identifier
Authority Key identifier
Revoked
CRL Entries
sertificates Sertificate Serial Number
[Sertificate Serial Number]
Date and Time of Revocation
[Date and Time of Revocation]
CRL reason code
7.3 OCSP profil
Ovo poglavlje nije primenljivo u okviru ove CP.
52
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
8. Provera saglasnosti sa Politikom sertifikacije
Banca Intesa Beograd CA vrši periodičnu reviziju/proveru saglasnosti svojih politika,
uključujući ovu CP što uključuje i periodičnu superviziju od strane Nadležnog organa
Republike Srbije.
Rad Banca Intesa Beograd CA je takoñe u saglasnosti sa najvažnijim meñunarodnim
i Evropskim standardima u ovoj oblasti, kao i sa Evropskom direktivom 1999/93/EC o
elektronskim potpisima.
U domenu izdavanja elektronskih sertifikata, Banca Intesa Beograd CA radi u okviru
ograničenja definisanim u Zakonu o elektronskom potpisu Republike Srbije, kao i u
odgovarajućim podzakonskim aktima.
Banca Intesa Beograd CA prihvata pod odreñenim uslovima i proveru/reviziju internih
procedura i pravila rada koja nisu javno dostupna. Banca Intesa Beograd CA evaluira
rezultate ovakvih provera pre nego što ih implementira.
Banca Intesa Beograd CA sprovodi redovne interne revizije usklañenosti poslovanja
sa ovom CP, kao i sa CPS dokumentom.
Ukoliko se Banca Intesa Beograd CA akredituje za izdavanje kvalifikovanih
elektronskih sertifikata, tada će Nadležni organ za poslove akreditacije i supervizije
PKI sistema u Srbiji vršiti obaveznu superviziju Banca Intesa Beograd CA barem
jednom godišnje.
53
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
9. Drugi poslovni i pravni aspekti
9.1 Cene
Banca Intesa Beograd CA ne naplaćuje korišćenje Banca Intesa Beograd CA izdatih
sertifikata korisnicima elektronskih servisa Banca Intesa ad Beograd, i to:
Internim korisnicima Banke,
fizičkim licima u home banking sistemu Banke,
pravnim licima u e-banking sistemu Banke, kao i u drugim aplikacijama za
pravna lica (web krediti, Broker assistance, itd.),
korisnicima sertifikata za informacione resurse.
Banca Intesa Beograd CA zadržava pravo da menja uslove korišćenja sertifikata od
strane pomenutih korisnika.
Banca Intesa Beograd CA naplaćuje korišćenje Banca Intesa Beograd CA izdatih
sertifikata onim korisnicima – trećim licima za koje Banca Intesa Beograd CA
outsource-uje odgovarajuću sertifikacionu uslugu.
Banca Intesa Beograd CA zadržava pravo da menja cene svojih sertifikata u ovim
slučajevima.
Objavljivanje cena sertifikata i drugih sertifikacionih usluga se vrši putem web sajta
Banca Intesa Beograd CA, partnera Banca Intesa Beograd CA (treća lica) ili putem
odgovarajućeg ugovora tamo gde je to primenljivo.
9.2 Finansijska odgovornost
Banca Intesa Beograd CA ne prihvata nikakvu drugu odgovornost koja izlazi iz
pokrivanja definisanog ovom CP.
Korisnik je dužan da obešteti Banca Intesa Beograd CA u odnosu na bilo koje
aktivnosti ili propuste u odgovornosti, bilo koje gubitke ili štetu, kao i za bilo kakve
troškove bilo koje vrste, uključujući razumne naknade advokata, koje bi Banca Intesa
Beograd CA mogao da ima kao rezultat:
Bilo kog lažnog ili pogrešno prezentovanog podatka dostavljenog od strane
korisnika ili njihovih agenata.
Bilo kog propusta korisnika da dostavi materijalnu činjenicu da je pogrešna
prezentacija ili propust učinjen iz nemarnosti ili sa namerom da se prevari
54
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Banca Intesa Beograd CA, ili bilo koje lice koje prihvata informacije u
dobijenom sertifikatu.
Neobezbeñivanja odgovarajuće zaštite korisnikovog privatnog ključa,
nekorišćenja bezbednog sistema kako je zahtevano, ili neizvršenja
odgovarajućih preventivnih mera neophodnih da se spreči kompromitacija,
gubitak, objavljivanje, modifikacija ili neautorizovano korišćenje korisnikovog
privatnog ključa, ili napada na integritet Banca Intesa Beograd CA Root
privatnog ključa.
Kršenja bilo kojih zakona koji su primenljivi, uključujući one koji se odnose na
zaštitu intelektualnih prava, viruse, pristup računarskim sistemima, itd.
9.3 Poverljivost poslovnih informacija
Ovo poglavlje nije primenljivo u okviru ove CP.
9.4 Privatnost i zaštita personalnih informacija
Banca Intesa Beograd CA se pridržava pravila zaštite privatnosti personalnih
podataka i pravila poverljivosti kako je propisano u CPS dokumentu, kao i u
odgovarajućim zakonskim dokumentima.
Banca Intesa Beograd CA ne objavljuje, niti se zahteva da objavljuje, bilo koju
poverljivu informaciju bez autentifikovanog i potvrñenog zahteva od strane:
Same strane za koju se takva informacija i čuva,
Odgovarajućeg suda.
Banca Intesa Beograd CA može naplatiti odgovarajuću administrativnu cenu za
procesiranje ovakvih objavljivanja.
Strane u komunikaciji koje zahtevaju i dobijaju poverljive informacije imaju dozvolu za
to na osnovu pretpostavke da će oni te informacije koristiti za zahtevane svrhe, da će
ih osigurati od kompromitacije, i da će se uzdržavati od njihovog korišćenja i
objavljivanja trećim stranama.
Banca Intesa Beograd CA telo i njegovi partneri mogu učiniti raspoloživom specifičnu
politiku privatnosti u cilju zaštite personalnih podataka aplikanta koji zahteva
izdavanje sertifikata od strane Banca Intesa Beograd CA ili njegovog partnera putem
njihovih web sajtova i/ili CP ili CPS dokumenata.
55
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
9.5 Prava intelektualnog vlasništva
Banca Intesa Beograd CA poseduje i zadržava sva prava intelektualnog vlasništva
pridružena svojim bazama podataka, web sajtovima, elektronskim sertifikatima koje
izdaje, kao i bilo kojim drugim publikacijama koje na bilo koji način pripadaju ili potiču
od strane Banca Intesa Beograd CA, uključujući i ovu CP.
9.6 Predstavljanje i garancije
Ovo poglavlje nije primenljivo u okviru ove CP.
9.7 Nepriznavanje garancije
Ovo poglavlje nije primenljivo u okviru ove CP.
9.8 Ograničenja odgovornosti
Banca Intesa Beograd CA ne prihvata bilo kakvu drugu odgovornost osim one koja je
eksplicitno definisana u ovom dokumentu.
Banca Intesa Beograd CA ne može da prihvati odgovornost:
za bilo kakve konsekvence prouzrokovane ovom CP,
za aktivnosti koje su izvršene korišćenjem ovih sertifikata,
za korišćenje ovih sertifikata od strane organizacija i/ili pojedinaca, ili
za bilo šta drugo što nije eksplicitno opisano u ovom dokumentu.
Ni u kom slučaju (izuzev zloupotrebe ili namere) Banca Intesa Beograd CA nije
odgovorno za:
Bilo kakav gubitak profita.
Bilo kakav gubitak podataka.
Bilo koju indirektnu ili slučajnu štetu koja je prouzrokovana ili je vezana za
korišćenje, isporuku, licencu, performance sertifikata ili elektronskih potpisa.
Bilo koju transakciju ili uslugu ponuñenu ili u okviru obuhvata ove CP.
Bilo koju drugu štetu izuzev onih koje potiču od opravdanog oslanjanja na
verifikovane informacije koje se nalaze u izdatom sertifikatu.
Bilo koju odgovornost koja se pojavila u slučaju greške u verifikovanim
informacijama koja je rezultat greške, zloupotrebe ili namere aplikanta.
56
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
9.9 Odštete
Ovo poglavlje nije primenljivo u okviru ove CP.
9.10 Period važnosti i kraj validnosti Politike sertifikacije
Ovo poglavlje nije primenljivo u okviru ove CP.
9.11 Pojedinačna
učesnicima
obaveštenja
i
komunikacija
sa
Ovo poglavlje nije primenljivo u okviru ove CP.
9.12 Ispravke
Ovo poglavlje nije primenljivo u okviru ove CP.
9.13 Procedure rešavanja sporova
Banca Intesa Beograd CA se referiše na arbitražu u cilju rešavanja svih sporova koji
se odnose na ovu CP.
Ako se spor ne reši u okviru deset (10) dana nakon inicijalnog obaveštenja shodno
pravilima CP, strane u sporu dostavljaju spor na arbitražu. Arbitraža se sastoji od 3
arbitra, svaka strana predlaže po jednog, dok trećeg predlažu zajedno obe strane u
sporu. Mesto za arbitražu je Beograd, Srbija, a arbitri odreñuju sve troškove
arbitraže.
Za sve sporove koji se odnose na tehnologiju, kao i sporove koji se odnose na samu
CP, strane u sporu prihvataju arbitražno telo koje će biti izabrano od strane vlade
Srbije.
9.14 Zakon koji se poštuje
Ova CP je izdata u potpunosti u skladu sa odgovarajućom zakonskom regulativom
države Srbije, i to pre svega sa Zakonom o elektronskom potpisu i odgovarajućim
podzakosnkim aktima.
Sve pravne stvari koje se odnose na Banca Intesa Beograd CA i/ili koji se odnose na
sertifikate izdate od strane Banca Intesa Beograd CA će biti procesuirane od strane
odgovarajućeg suda u Srbiji.
57
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
9.15 Saglasnost sa primenljivim zakonima
Ovo poglavlje nije primenljivo u okviru ove CP.
9.16 Razne odredbe
Ovo poglavlje nije primenljivo u okviru ove CP.
9.17 Druge odredbe
Ovo poglavlje nije primenljivo u okviru ove CP.
58
Banca Intesa ad Beograd
Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87
Download

Banca Intesa ad Beograd Digitrust_CP_pravna lica_05