Codul de Practici și Proceduri

DigiSign

Versiunea 2.1.1

03.11.2016

DigiSign S.A.

Str. Virgil Madgearu, Nr. 2 - 6, Sector 1

014135, București, România

031 620 12 89

www.digisign.ro

Copyright © DigiSign. Toate drepturile rezervate.

Pagina 1 din 86

Observații preliminare

DigiSign este marcă înregistrată a DigiSign S.A.. Logo-ul DigiSign este marcă înregistrată a DigiSign S.A. Alte mărci comerciale sau de servicii din acest document sunt proprietatea deținătorilor lor.

Fără a limita drepturile rezervate mai sus și cu excepția celor autorizate de mai jos, nici o parte a acestei lucrări nu poate fi reprodusă, sub nici o formă, prin nici un mijloc, fie că este electronic, mecanic, fotocopiere, înregistrare sau altele, fără acordul prealabil, în scris, al DigiSign.

Cererile de obținere a permisiunii de reproducere a Codului de Practici și Proceduri al DigiSign trebuie adresate către:

DigiSign S.A.

Str. Virgil Madgearu, Nr. 2 - 6, Sector 1

014135, București, România

Tel: 031 620 12 84

Fax: 031 620 20 99

e-mail: cpp@digisign.ro

Pagina 2 din 86

Cuprins

1. Introducere ........................................................................................................................... 7

1.1. Identificarea și denumirea documentului .................................................................. 8

1.2. Participanți în cadrul procesului de certificare ........................................................ 8

1.2.1. Autoritățile de certificare ..................................................................................... 8

1.2.1.1. Autoritățile de certificare cu algoritmul de compresie SHA1 ...................... 9

1.2.1.2. Autoritățile de certificare cu algoritmul de compresie SHA-256 ............... 12

1.2.2. Autoritățile de Înregistrare ................................................................................ 15

1.2.3. Autoritatea de Validare ...................................................................................... 16

1.2.4. Utilizatorii ............................................................................................................ 16

1.2.5. Depozitul și Registrul Public ............................................................................. 16

1.3. Utilizarea certificatului digital ................................................................................... 17

1.3.1 Aria de aplicabilitate............................................................................................ 17

1.3.2. Aplicațiile recomandate ..................................................................................... 18

1.4. Politica de administrare a Codului de Practici și Proceduri DigiSign ................. 18

1.4.1. Managamentul CPP ............................................................................................ 19

1.4.1.1. Procedura de modificare ............................................................................... 19

1.4.1.2. Procedura de publicare si notificare ........................................................... 20

1.4.1.3. Procedura de aprobare.................................................................................. 20

1.4.2. Adresa de contact .............................................................................................. 20

2. Depozitul și publicarea informațiilor................................................................................ 20

2.1. Depozitul ...................................................................................................................... 21

2.2. Registrul public .......................................................................................................... 21

2.3. Informații publicate de către DigiSign ..................................................................... 21

2.4. Frecvența publicării ................................................................................................... 21

2.5. Accesul la infomații .................................................................................................... 21

3. Prevederi generale ale CPP-ului ...................................................................................... 22

3.1. Obligații ....................................................................................................................... 22

3.1.1. Obligațiile Autorităților de Certificare (AC) ............................................... 22

3.1.2. Obligatiile Autorității de Înregistrare (AI) ................................................... 24

3.1.3. Obligațiile Abonaților ................................................................................... 24

3.1.4. Obligațiile Entităților Partenere .................................................................. 26

3.1.5. Obligațiile Depozitului și ale Registrului Public ....................................... 26

3.2. Responsabilități .......................................................................................................... 27

3.2.1. Responsabilitățile Autorităților de Certificare (AC) .................................. 27

Pagina 3 din 86

3.2.2. Responsabilitățile Autorităților de Înregistrare – AI ................................. 28

3.2.3. Responsabilitățile utilizatorilor ................................................................... 28

3.2.4. Responsabilitățile Depozitului și ale Registrului Public .......................... 29

3.2.5. Responsabilitatea financiară....................................................................... 29

3.2.6. Limitări ale răspunderii. Forța majoră ........................................................ 29

3.3. Garanțiile DigiSign ........................................................................................... 30

3.4. Legislația aplicabilă. Durata. Aplicabilitatea. .......................................................... 31

3.4.1. Legislația aplicabilă ...................................................................................... 31

3.4.2. Intrarea în vigoare ........................................................................................ 31

3.4.3. Aplicabilitatea ............................................................................................... 31

3.4.4. Independența clauzelor ............................................................................... 31

3.4.5. Trimiteri .......................................................................................................... 32

3.4.6. Dreptul de proprietate intelectuală ............................................................. 32

3.4.7. Recunoașterea și rolul mărcilor înregistrate ............................................ 32

3.4.8. Soluționarea litigiilor .................................................................................... 32

3.4.9. Procedura aplicată în cazul litigilor care au ca obiect revendicarea numelui…………………………………………………………………………………………………………………………….32

3.4.10. Comunicări .................................................................................................... 33

3.5. Tariful serviciilor ......................................................................................................... 33

3.5.1. Tariful serviciilor de certificare ................................................................... 33

3.5.2. Tariful serviciilor conexe sau adiționale .................................................... 34

3.5.3. Politica de restituire ..................................................................................... 34

3.6. Auditul ......................................................................................................................... 34

3.6.1. Frecvența auditării ........................................................................................ 34

3.6.2. Identitatea/calificările auditorului ............................................................... 35

3.6.3. Domeniile supuse auditării .......................................................................... 35

3.6.4. Măsurile întreprinse ca urmare a descoperirii unei deficiențe ............... 35

3.7. Confidențialitatea și caracterul privat al informațiilor ........................................... 35

4. Identificarea și autentificarea ........................................................................................... 36

4.1. Nume ............................................................................................................................ 37

4.1.1. Tipuri de nume .............................................................................................. 37

4.1.2. Necesitatea ca numele să aibă un înțeles ................................................. 37

4.1.3. Anonimatul și pseudonimul unui utilizator ............................................... 37

4.1.4. Metode de interpretare a diferitor forme de nume ................................... 37

4.1.5. Unicitatea numelor ....................................................................................... 37

4.2. Înregistrarea inițială ................................................................................................... 38

4.2.1. Dovada posesiei cheii private ..................................................................... 38

Pagina 4 din 86

4.2.2. Autentificarea identității persoanei fizice .................................................. 38

4.2.3. Autentificarea identității persoanei juridice .............................................. 40

4.2.4. Autentificarea dispozitivelor (fizice sau logice)........................................ 40

4.2.5. Informații neverificate .................................................................................. 41

4.2.6. Autentificarea autorizațiilor ......................................................................... 41

4.3. Identificarea și autentificarea cererilor pentru reînnoirea sau modificarea certificatelor ....................................................................................................................... 41

4.4. Identificarea și autentificarea cererilor pentru reînnoirea cheilor ........................ 41

4.5. Identificarea și autentificarea cererii de revocare .................................................. 42

5. Cerințe operaționale - Ciclul de viață al unui certificat ................................................. 42

5.1. Cererea pentru certificat ............................................................................................ 42

5.1.1. Cererea pentru înregistrare ......................................................................... 43

5.1.2. Cererea pentru reînnoirea sau modificarea certificatului ........................ 43

5.1.3. Cererea pentru revocarea sau suspendarea unui certificat .................... 43

5.2. Procesarea cererilor ................................................................................................... 44

5.3. Emiterea certificatelor ................................................................................................ 44

5.4. Acceptarea certificatelor ........................................................................................... 45

5.5. Folosirea corespunzătoare a cheilor și a certificatelor digitale ........................... 45

5.6. Reînnoirea sau modificarea certificatului ............................................................... 45

5.6.1. Reînnoirea certificatului .............................................................................. 45

5.6.2. Modificarea certificatului ............................................................................. 46

5.7. Reinnoirea cheilor/Certificarea cheilor/Recertificarea cheilor .............................. 46

5.8. Revocarea și suspendarea unui certificat digital ................................................... 47

5.8.1. Revocarea unui certificat digital ................................................................. 47

5.8.1.1. Circumstanțele pentru care se poate revoca un certificat ...................... 47

5.8.1.2. Cine poate solicita revocarea unui certificat ............................................ 48

5.8.1.3. Cererea de revocare a unui certificat ......................................................... 48

5.8.1.4. Procedura de revocare a unui certificat .................................................... 49

5.8.2. Suspendarea unui certificat digital ............................................................ 49

5.9. Verificarea online a stării certificatelor – protocolul OCSP .................................. 50

6. Controale de securitate fizică, operațională și de personal ......................................... 51

6.1. Controale de securitate fizică ................................................................................... 51

6.1.1. Amplasarea locației ...................................................................................... 51

6.1.2. Acces fizic ..................................................................................................... 51

6.1.3. Energie și aer condiționat ........................................................................... 52

6.1.4. Expunerea la apă .......................................................................................... 52

6.1.5. Prevenirea și protecția împotriva incendiului ........................................... 52

Pagina 5 din 86

6.1.6. Mediul de stocare ......................................................................................... 52

6.1.7. Dispunerea documentelor și echipamentelor nefolositoare ................... 52

6.1.8. Salvarea datelor în locația de back-up ....................................................... 52

6.2. Controale de securitate operațională....................................................................... 52

6.2.1. Roluri de încredere ....................................................................................... 53

6.2.1.1. Roluri de încredere în cadrul DigiSign ................................................... 53

6.2.2. Numărul de persoane necesare pentru îndeplinirea unei sarcini .......... 54

6.2.3. Identificarea și autentificarea pentru fiecare rol ....................................... 54

6.3. Controlul personalului ............................................................................................... 55

6.3.1. Experiența personală, calificările și clauzele de confidențialitate necesare…… ................................................................................................................. 55

6.3.2. Cerințele de pregătire a personalului ......................................................... 55

6.3.3. Frecvența stagiilor de pregătire .................................................................. 55

6.3.4. Rotația funcțiilor ........................................................................................... 56

6.3.5. Sancționarea acțiunilor neautorizate ......................................................... 56

6.3.6. Personalul angajat pe bază de contract .................................................... 56

6.3.7. Documentația oferită personalului ............................................................. 56

7. Controale tehnice de securitate a informației ................................................................ 56

7.1. Generarea și utilizarea perechii de chei .................................................................. 56

7.1.1. Generarea perechilor de chei ...................................................................... 57

7.1.2. Distribuirea cheii private către titularul certificatului digital ................... 57

7.1.3. Distribuirea cheii publice de către Autoritatea de Certificare ................. 57

7.1.4. Distribuirea cheii publice a Autorității de Certificare către Entitățile Partenere ....................................................................................................................... 58

7.1.5. Dimensiunea cheilor .................................................................................... 58

7.1.6. Parametrii de generare a cheilor publice și verificarea calității parametrilor ................................................................................................................... 58

7.1.7. Utilizarea cheilor ........................................................................................... 58

7.2. Protecția cheii private ................................................................................................ 59

7.2.1. Standardele pentru modulele criptografice .............................................. 59

7.2.2. Controlul dual al cheii private ..................................................................... 59

7.2.3. Custodia cheii private .................................................................................. 59

7.2.4. Back-up-ul cheii private ............................................................................... 59

7.2.5. Arhivarea cheii private ................................................................................. 59

7.2.6. Metoda de activare a cheii private .............................................................. 60

7.2.7. Metoda de dezactivare a cheii private ........................................................ 61

7.2.8. Metoda de distrugere a cheii private .......................................................... 61

7.3. Alte aspecte cu privire la managementul perechilor de chei ................................ 61

Pagina 6 din 86

7.3.1. Arhivarea cheilor publice ............................................................................ 61

7.3.2. Managementul cheilor utilizatorilor............................................................ 62

7.4. Date utilizate pentru accesarea dispozitivelor criptografice securizate sau a certificatelor digitale ......................................................................................................... 62

7.4.1. Generarea și utilizarea datelor pentru activare ......................................... 62

7.4.2. Protecția datelor pentru activare ................................................................ 62

7.5. Controale de securitate a computerelor .................................................................. 62

7.5.1. Cerințe tehnice specifice securității computerelor .................................. 63

7.5.2. Evaluarea securității computerelor ............................................................ 63

7.6. Controale tehnice specifice gestionării certificatelor digitale .............................. 63

7.6.1. Controale specifice dezvoltării sistemului ................................................ 63

7.6.2. Controale pentru managementul securității ............................................. 63

7.7. Controale de securitate a rețelei .............................................................................. 64

7.8. Controale specifice modulelor criptografice .......................................................... 64

8. Profilul certificatelor, CRL și OCSP ................................................................................ 64

8.1. Profilul certificatelor. Numărul versiunii ................................................................. 64

8.1.1. Corpul certificatului ...................................................................................... 64

8.1.1.1. Câmpurilor de bază ................................................................................... 65

8.1.1.2. Extensiile certificatelor ............................................................................ 65

8.1.2. Informații despre algoritmul utilizat pentru semnarea certificatului ...... 66

8.1.3. Semnătura electronică a Autorității de Certificare ................................... 66

8.1.4. Certificate ...................................................................................................... 66

8.2. Profilul CRL ................................................................................................................. 77

8.2.1. Numărul versiunii ......................................................................................... 78

8.2.2. CRL și extensiile CRL .................................................................................. 78

8.3. Profilul OCSP .............................................................................................................. 78

9. Standarde și recomandări internaționale ....................................................................... 78

10. Definiții și acronime ..................................................................................................... 80

10.1. Definiții .................................................................................................................. 80

10.2. Abrevierile utilizate in prezentul document au următoarele semnificaţii: .... 85

11. Actualizari: ................................................................................................................................... 86

Pagina 7 din 86

1. Introducere

Codul de Practici și Proceduri – denumit în continuare și CPP, definește practicile și procedurile de lucru, sub aspect legal, comercial și tehnic, implementate de DigiSign S.A. – denumită în continuare DigiSign și utilizate în procesul de furnizare de servicii de certificare a cheilor publice, precum și aria de aplicabilitate a certificatelor care rezultă din acest proces. Regulile generale ale procesului de certificare sunt stipulate în Politica de Certificare Digisign – denumită în continuare și CP.

Acest Cod de Practici și Proceduri se aplică companiei DigiSign S.A. ca Autoritate de Certificare – AC și ca Autoritate de Înregistrare – AI, precum și oricăror AC-uri și AI-uri aflate în relație de subordonare sau aflate într-o relație contractuală cu DigiSign SA.

Există mai multe documente auxiliare care au legătură cu Codul de Practici și Proceduri. Acestea sunt folosite în cadrul Autoritățiilor de Certificare DigiSign pentru a reglementa modul de funcționare al acestora, însă respectivele documente au un statut diferit și nu sunt disponibile public datorită importanței informațiilor conținute pentru securitatea sistemului.

Codul de Practici și Proceduri DigiSign prezintă și explică politicile de certificare aplicate de către DigiSign în vederea emiterii de certificate digitale și vizează următoarele aspecte:

• Obligațiile și responsabilitățile Autorităților de Certificare, ale Autoritățiilor de Înregistrare, ale Depozitului și Registrului Public, precum și ale Utilizatorilor de certificate digitale, fie ei Abonați sau Entități Partenere;

• Metodele utilizate în vederea confirmării identității solicitanților de certificate digitale;

• Procedurile operaționale utilizate de către DigiSign în procesul de certificare – solicitări cu privire la emiterea, acceptarea, revocarea, suspendarea și reînnoirea certificatelor;

• Procedurile de securitate pentru înregistrările de verificare, reținerea rapoartelor și recuperarea în caz de dezastru;

• Practicile de securitate fizică, de personal, de management al cheilor și de securitate logică;

• Problemele legale referitoare la serviciile de certificare oferite de DigiSign;

• Revizuirea practicilor de securitate și audit la care se supune compania DigiSign;

• Administrarea CPP-ului și metodele de îmbunătățire ale acestuia.

Pagina 8 din 86

1.1. Identificarea și denumirea documentului

Acest document poartă denumirea de Codul de Practici și Proceduri DigiSign și urmărește să reglementeze procesul de furnizare a serviciilor de certificare, respectiv înregistrarea, emiterea, administrarea, suspendarea, revocarea și reînnoirea certificatelor digitale, în conformitate cu prevederile legale în vigoare.

Codul de Practici și Proceduri DigiSign este disponibil:

➢ în format electronic, la adresa: https://www.digisign.ro/cpp/; ➢ în format fizic, printr-o scrisoare trimisă către sediul social DigiSign specificat în

Capitolul 1.5.2. – Adresa de contact.

1.2. Participanți în cadrul procesului de certificare

Acest capitol descrie toate entitățile care au calitatea de participant în cadrul procesului de certificare furnizat de DigiSign, precum și relațiile care se stabilesc între respectivele entități.

O entitate are statutul de participant dacă îndeplinește un rol bine definit în procesul de certificare. Astfel, distingem următorii participanți la procesul de certificare: Autoritățile de Înregistrare, Autoritățile de Certificare, Autoritățile de Validare, Utilizatorii – Abonații și Entitățile Partenere, Depozitul și Registrul Public.

1.2.1. Autoritățile de certificare

O Autoritate de Certificare (AC) este acea entitate autorizată să emită, să administreze, să revoce, să suspende și să reînnoiască certificate digitale, respectând propriul CPP, care poate fi același pentru fiecare AC sau poate diferi de la o AC la alta, în funcție de scopul declarat al acesteia.

Toate Autoritățile de Certificare din cadrul DigiSign au statutul de participanți la procesul de certificare, acestea având unul dintre cele mai importante roluri din cadrul procesului, și anume, instituții de încredere cu funcție de: emitere, administrare, revocare, suspendare și reînnoire a certificatelor digitale.

Autoritățile de Certificare din cadrul DigiSign, corespondente atât Nivelului 1 de încredere, cât și Nivelului 2 de încredere au ca scop principal emiterea, administrarea, revocarea, suspendarea și reînnoirea certificatelor digitale, în conformitate cu prevederile reglementărilor legale în materie, și anume:

✓ Legea nr. 455/2001 privind semnătura electronică, republicată;

✓ Legea nr. 451/2004 privind marca temporală;

✓ Hotărârea Guvernului nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor

tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura

electronică;

✓ Ordinul Ministrului Comunicațiilor și Societății Informaționale nr. 492 din 15 iunie 2009

privind normele tehnice şi metodologice pentru aplicarea Legii nr. 451/2004 privind

marca temporală;

✓ Ordinul Ministrului Societății Informaționale nr. 441/23.07.2014 privind calitatea de

furnizor acreditat de servicii de certificare dobândită de DigiSign SA;

Pagina 9 din 86

✓ Directiva 1999/93/EC a Parlamentului European și a Consiliului European încheiată la

13 decembrie 1999 privind stabilirea cadrului comunitar pentru semnătura electronică,

cu modificările și completările ulterioare;

✓ Recomandarile Internet Engineering Task Force:

o RFC 3647 – „Internet X.509 Public Key Infrastrucuture Certificate Policies and

Certification Practices Framework;

✓ Standardul ISO/IEC 27002 – Code of Practice for Information Security Management;

✓ Standardul ETSI TS 101456 – „Electronic Signatures and Infrastructures (ESI); Policy

requirements for certification authorities issuing qualified certificates”;

✓ Standardul ETSI TS 102042 – „Electronic Signatures and Infrastructures (ESI); Policy

requirements for certification authorities issuing public key certificates”;

✓ Standardul ETSI TS 102023 – „Electronic Signatures and Infrastructures (ESI); Policy

requirements for time-stamping authorities”.

1.2.1.1. Autoritățile de certificare cu algoritmul de compresie SHA1

Figura 1 – Autorități de certificare ce operează în cadrul DigiSign (SHA1)

a. Autoritatea de Certificare DigiSign Qualified Root CA v2 este o Autoritate de Certificare Primară (ACP) pentru domeniul DigiSign. Autoritatea de Certificare Primară face parte din categoria de emitenți care se comportă ca o rădăcină (eng. root) pentru arhitectura PKI. Toate celelalte Autorități de Certificare din cadrul domeniului DigiSign sunt direct subordonate DigiSign Qualified Root CA v2 și sunt găzduite atât în sediul propriu, aflat pe teritoriul României, cât și în sedii de back up, strict securizate.

DigiSign Qualified Root CA v2 reprezintă punctul de încredere pentru clienții DigiSign, fiind încadrată în Nivelul 1 de încredere. Astfel, fiecare cale de certificare începe cu certificatul Autorității de Certificare Primară DigiSign, care furnizează servicii pentru sine (emite, revocă și reînnoiește certificate proprii), precum și pentru toate Autoritățile de Certificare subordonate.

Autoritatea DigiSign Qualified Root CA v2 funcționează pe baza unui certificat autosemnat, emis de ea însăși. Această autoritate nu are limitări din punct de vedere al setului de căi de certificare la care certificatul DigiSign Qualified Root CA v2 poate fi atașat. Conform arhitecturii PKI DigiSign, imediat subordonate Autorității de Certificare Primară există următoarele AC-uri încadrate în Nivelul 2 de încredere: DigiSign Qualified Public CA,DigiSign DEMO CA și DigiSign Enterprise CA

Pagina 10 din 86

Orice entitate externă care dorește încheierea unui acord pentru operarea unei AC subordonată DigiSign Qualified Root CA v2 trebuie să încheie cu DigiSign un contract prin care se obligă să respecte versiunile curente ale Politicii de Certificare DigiSign și ale Codului de Practici și Proceduri DigiSign și să se supună unui audit pentru verificarea conformității cu legislația în vigoare și cu politicile și procedurile DigiSign.

b. Autoritatea de Certificare DigiSign Qualified Public CA este imediat subordonată Autorității de Certificare Primară, DigiSign Qualified Root CA v2 și se încadrează în Nivelul 2 de încredere. Această autoritate realizează funcțiile de emitere, administrare, suspendare, revocare și reînnoire a certificatelor digitale. Identificatori de politică*:

1.3.6.1.4.1.34285.1.1.1 – Certificat digital DigiSign Qualified Public CA 1.3.6.1.4.1.35285.1.1.2 – Certificate digitale calificate pe 1024/2048 biti 1.3.6.1.4.1.35285.2.1.1 – Certificate digitale cu profilul Marcare Temporală 1.3.6.1.4.1.35285.3.1.1 – Certificate digitale cu profilul OCSP 1.3.6.1.4.1.34285.1.1.4 – Certificate digitale cu profilul Protecție e-mail c. Autoritatea de Certificare DigiSign Enterprise CA este imediat subordonată Autorității de Certificare Primară, DigiSign Qualified Root CA v2, și se încadrează în Nivelul 2 de încredere. Această autoritate realizează funcțiile de emitere, administrare, suspendare, revocare și reînnoire a certificatelor digitale. Identificatori de politică*: 1.3.6.1.4.1.34285.4.1.0 – Certificat digital DigiSign Enterprise CA 1.3.6.1.4.1.34285.4.1.1 – Certificat digital cu profilul Semnare de Cod d. Autoritatea de Certificare DigiSign DEMO CA este imediat subordonată Autorității de Certificare Primară, DigiSign Qualified Root CA v2 și se încadrează în Nivelul 2 de încredere. Această autoritate realizează funcțiile de emitere, administrare, suspendare, revocare și reînnoire a certificatelor digitale. Identificatori de politică*: 1.3.6.1.4.1.35285.0.1.0 – Certificat digital simplu DigiSign DEMO CA

Pagina 11 din 86

Figura 2 – Autorități de certificare ce operează în cadrul DigiSign (SHA1) e. Autoritățile de Certificare DIGISIGN PRODUCTION CA V2 și DIGISIGN TEST CA V2 sunt Autorități de Certificare Primară (ACP) în domeniul privat DigiSign. Autoritatea de Certificare Primară face parte din categoria de emitenți care se comportă ca o rădăcină (eng. root) pentru arhitectura PKI. Autoritățile de Certificare, DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V2, DIGISIGN FOR BANKING QUALIFIED DS TEST CA V2, DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V2 și DIGISIGN FOR BANKING SIMPLE SSL TEST CA V2 din cadrul domeniului privat DigiSign sunt direct subordonate Autorităților de Certificare DIGISIGN PRODUCTION CA V2 și DIGISIGN TEST CA V2, și sunt găzduite atât în sediul propriu, aflat pe teritoriul României, cât și în sedii de back up, strict securizate.

Autoritățile de Certificare DIGISIGN PRODUCTION CA V2 și DIGISIGN TEST CA V2 reprezintă punctul de încredere pentru utilizatorii domeniului privat DigiSign, fiind încadrată în Nivelul 1 de încredere. Astfel, fiecare cale de certificare începe cu certificatul Autorității de Certificare Primară DigiSign, care furnizează servicii pentru sine (emite, revocă și reînnoiește certificate proprii), precum și pentru toate Autoritățile de Certificare subordonate.

Autoritățile de Certificare DIGISIGN PRODUCTION CA V2 și DIGISIGN TEST CA V2 funcționează pe baza unui certificat autosemnat, emis de ele însăși. Aceste autorități nu au limitări din punct de vedere al setului de căi de certificare la care certificatele DIGISIGN PRODUCTION CA V2 și DIGISIGN TEST CA V2 pot fi atașate. Conform arhitecturii PKI DigiSign, imediat subordonate Autorității de Certificare Primară private există următoarele AC-uri încadrate în Nivelul 2 de încredere: DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V2, DIGISIGN FOR BANKING QUALIFIED DS TEST CA V2, DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V2 și DIGISIGN FOR BANKING SIMPLE SSL TEST CA V2.

Identificatori de politică*: 1.3.6.1.4.1.35285.10.1.0 – DIGISIGN PRODUCTION CA V2 1.3.6.1.4.1.35285.10.1.1 – DIGISIGN TEST CA V2 1.3.6.1.4.1.35285.10.1.2 – DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V2 1.3.6.1.4.1.35285.10.1.3 – DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V2 1.3.6.1.4.1.35285.10.1.4 – DIGISIGN FOR BANKING QUALIFIED DS TEST CA V2 1.3.6.1.4.1.35285.10.1.5 – DIGISIGN FOR BANKING SIMPLE SSL TEST CA V2

Pagina 12 din 86

Autoritățile de Certificare DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V2, DIGISIGN FOR BANKING QUALIFIED DS TEST CA V2, DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V2 și DIGISIGN FOR BANKING SIMPLE SSL TEST CA V2 emit atât certificate simple, în format software, cât și certificate calificate, emise pe dispozitive securizate.

Certificatele digitale simple, emise în format software, sunt identificate prin următoarele politici: 1.3.6.1.4.1.35285.10.1.2.1.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.10.1.3.1.20150806 – Certificate digitale cu profilul autentificare 1.3.6.1.4.1.35285.10.1.4.1.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.10.1.5.1.20150806 – Certificate digitale cu profilul autentificare Certificatele digitale calificate, emise pe dispozitiv securizat, sunt identificate prin următoarele politici: 1.3.6.1.4.1.35285.10.1.2.2.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.10.1.3.2.20150806 – Certificate digitale cu profilul autentificare 1.3.6.1.4.1.35285.10.1.4.2.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.10.1.5.2.20150806 – Certificate digitale cu profilul autentificare

*Structura OID (eng. Object Identifier) în baza căreia sunt construiți identificatorii de politică:

1 – Asignat pentru ISO; 1 – Companie privată înregistrată la IANA; 3 – Organizație recunoscută de ISO; 35285 – DigiSign; 6 – Departamentul de apărare al SUA (DoD);

1 – Internet; 4 – Privat;

1.2.1.2. Autoritățile de certificare cu algoritmul de compresie SHA-256

Figura 3 – Autorități de certificare ce operează în cadrul DigiSign (SHA2)

a. Autoritatea de Certificare DigiSign Root Certification Authority este o Autoritate de Certificare Primară (ACP) pentru domeniul DigiSign. Autoritatea de Certificare Primară face parte din categoria de emitenți care se comportă ca o rădăcină (eng. root) pentru arhitectura PKI. Toate celelălte Autorități de Certificare din cadrul domeniului DigiSign sunt direct subordonate DigiSign Root Certification Authority și sunt găzduite atât în sediul propriu, aflat pe teritoriul României, cât și în sedii de back up, strict securizate.

Pagina 13 din 86

DigiSign Root Certification Authority reprezintă punctul de încredere pentru clienții DigiSign, fiind încadrată în Nivelul 1 de încredere. Astfel, fiecare cale de certificare începe cu certificatul Autorității de Certificare Primară DigiSign, care furnizează servicii pentru sine (emite, revocă și reînnoiește certificate proprii), precum și pentru toate Autoritățile de Certificare subordonate.

Autoritatea DigiSign Root Certification Authority funcționează pe baza unui certificat autosemnat, emis de ea însăși. Această autoritate nu are limitări din punct de vedere al setului de căi de certificare la care certificatul DigiSign Root Certification Authority poate fi atașat. Conform arhitecturii PKI DigiSign, imediat subordonate Autorității de Certificare Primară există următoarele AC-uri încadrate în Nivelul 2 de încredere: DigiSign Qualified Public CA, DigiSign DEMO CA și DigiSign Enterprise CA.

Orice entitate externă care dorește încheierea unui acord pentru operarea unei AC subordonată DigiSign Root Certification Authority trebuie să încheie cu DigiSign un contract prin care se obligă să respecte versiunile curente ale Politicii de Certificare DigiSign și ale Codului de Practici și Proceduri DigiSign și să se supună unui audit pentru verificarea conformității cu legislația în vigoare și cu politicile și procedurile DigiSign.

b. Autoritatea de Certificare DigiSign Qualified Public CA este imediat subordonată Autorității de Certificare Primară, DigiSign Root Certification Authority și se încadrează în Nivelul 2 de încredere. Această autoritate realizează funcțiile de emitere, administrare, suspendare, revocare și reînnoire a certificatelor digitale. Identificatori de politică*: 1.3.6.1.4.1.34285.256.3.1.20141030 – Certificat digital DigiSign Qualified Public CA 1.3.6.1.4.1.34285.256.3.1.1.20141030 – Certificate digitale calificate pe 2048 biti 1.3.6.1.4.1.34285.256.4.1.1.20141030 – Certificate digitale cu profilul OCSP 1.3.6.1.4.1.34285.256.5.1.1.20141030 – Certificate digitale cu profilul Marcare Temporală c. Autoritatea de Certificare DigiSign Enterprise CA este imediat subordonată Autorității de Certificare Primară, DigiSign Root Certification Authority și se încadrează în Nivelul 2 de încredere. Această autoritate realizează funcțiile de emitere, administrare, suspendare, revocare și reînnoire a certificatelor digitale. Identificatori de politică*: 1.3.6.1.4.1.34285.256.3.2.20141030 – Certificat digital DigiSign Enterprise CA 1.3.6.1.4.1.34285.256.3.2.3.20141030 – Certificate digitale cu profilul Protecție e-mail d. Autoritatea de Certificare DigiSign DEMO CA este imediat subordonată Autorității de Certificare Primară, DigiSign Qualified Root CA v2 și se încadrează în Nivelul 2 de încredere. Această autoritate realizează funcțiile de emitere, administrare, suspendare, revocare și reînnoire a certificatelor digitale. Identificatori de politică*: 1.3.6.1.4.1.34285.256.1.1.20141030 – Certificat digital DigiSign DEMO CA 1.3.6.1.4.1.34285.256.1.1.1.20141030 – Certificate digitale test cu profilul autentificare

Pagina 14 din 86

Figura 4 – Autorități de certificare ce operează în cadrul DigiSign (SHA2)

e. Autoritățile de Certificare Private DIGISIGN PRODUCTION CA V3 și DIGISIGN TEST CA V3 sunt Autorități de Certificare Primară (ACP) în domeniul privat DigiSign. Autoritatea de Certificare Primară face parte din categoria de emitenți care se comportă ca o rădăcină (eng. root) pentru arhitectura PKI. Autoritățile de Certificare, DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V3, DIGISIGN FOR BANKING QUALIFIED DS TEST CA V3, DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V3 și DIGISIGN FOR BANKING SIMPLE SSL TEST CA V3 din cadrul domeniului privat DigiSign sunt direct subordonate Autorităților de Certificare DIGISIGN PRODUCTION CA V3 și DIGISIGN TEST CA V3, și sunt găzduite atât în sediul propriu, aflat pe teritoriul României, cât și în sedii de back up, strict securizate.

Autoritățile de Certificare DIGISIGN PRODUCTION CA V3 și DIGISIGN TEST CA V3 reprezintă punctul de încredere pentru utilizatorii domeniului privat DigiSign, fiind încadrată în Nivelul 1 de încredere. Astfel, fiecare cale de certificare începe cu certificatul Autorității de Certificare Primară DigiSign, care furnizează servicii pentru sine (emite, revocă și reînnoiește certificate proprii), precum și pentru toate Autoritățile de Certificare subordonate.

Autoritățile de Certificare DIGISIGN PRODUCTION CA V3 și DIGISIGN TEST CA V3 funcționează pe baza unui certificat autosemnat, emis de ele însăși. Aceste autorități nu au

Pagina 15 din 86

limitări din punct de vedere al setului de căi de certificare la care certificatele DIGISIGN PRODUCTION CA V3 și DIGISIGN TEST CA V3 pot fi atașate. Conform arhitecturii PKI DigiSign, imediat subordonate Autorității de Certificare Primară private există următoarele AC-uri încadrate în Nivelul 2 de încredere: DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V3, DIGISIGN FOR BANKING QUALIFIED DS TEST CA V3, DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V3 și DIGISIGN FOR BANKING SIMPLE SSL TEST CA V3.

Identificatori de politică*: 1.3.6.1.4.1.35285.256.10.1.20141030 – DIGISIGN PRODUCTION CA V3 1.3.6.1.4.1.35285.256.10.2.20141030 – DIGISIGN TEST CA V3 1.3.6.1.4.1.35285.256.10.3.20141030 – DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V3 1.3.6.1.4.1.35285.256.10.4.20141030 – DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V3 1.3.6.1.4.1.35285.256.10.5.20141030 – DIGISIGN FOR BANKING QUALIFIED DS TEST CA V3 1.3.6.1.4.1.35285.256.10.6.20141030 – DIGISIGN FOR BANKING SIMPLE SSL TEST CA V3

Autoritățile de Certificare DIGISIGN FOR BANKING QUALIFIED DS PRODUCTION CA V3, DIGISIGN FOR BANKING QUALIFIED DS TEST CA V3, DIGISIGN FOR BANKING SIMPLE SSL PRODUCTION CA V3 și DIGISIGN FOR BANKING SIMPLE SSL TEST CA V3 emit atât certificate simple, în format software, cât și certificate calificate, emise pe dispozitive securizate.

Certificatele digitale simple, emise în format software, sunt identificate prin următoarele politici: 1.3.6.1.4.1.35285.256.10.3.1.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.256.10.4.1.20150806 – Certificate digitale cu profilul autentificare 1.3.6.1.4.1.35285.256.10.5.1.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.256.10.6.1.20150806 – Certificate digitale cu profilul autentificare Certificatele digitale calificate, emise pe dispozitiv securizat, sunt identificate prin următoarele politici: 1.3.6.1.4.1.35285.256.10.3.2.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.256.10.4.2.20150806 – Certificate digitale cu profilul autentificare 1.3.6.1.4.1.35285.256.10.5.2.20150806 – Certificate digitale cu profilul semnare 1.3.6.1.4.1.35285.256.10.6.2.20150806 – Certificate digitale cu profilul autentificare

*Structura OID (eng. Object Identifier) în baza căreia sunt construiți identificatorii de politică:

1 – Asignat pentru ISO; 1 – Companie privată înregistrată la IANA; 3 – Organizație recunoscută de ISO; 35285 – DigiSign; 6 – Departamentul de apărare al SUA (DoD);

256 – Algoritmul de compresie SHA-256

1 – Internet; 4 – Privat;

1.2.2. Autoritățile de Înregistrare

Autoritatea de Înregistrare – AI, asistă o Autoritate de Certificare – AC, prin îndeplinirea funcțiilor de identificare a solicitantului și autentificare a cererilor de înregistrare, reînnoire, suspendare și revocare.

Pagina 16 din 86

Autoritatea de Înregistrare este orice partener DigiSign special mandatat de către aceasta pentru a realiza procesele de verificare și confirmare a identității solicitanților, precum și pentru a aproba sau respinge cererile de înregistrare, reînnoire sau revocare.

Toate Autortiățile de Înregistrare, subordonate domeniului DigiSign, reprezintă participanți importanți din cadrul procesului de certificare datorită funcțiilor pe care acestea le îndeplinesc.

Procesele de primire, verificare și aprobare sau respingere ale cererilor au în vedere identificarea solicitantului pe baza documentelor incluse în cereri, cu scopul de a confirma autenticitatea datelor furnizate de solicitant. În funcție de verificarea efectuată, AI poate trimite către AC solicitări de anulare sau de aprobare a cererilor efectuate de către un solicitant.

Modul de identificare al solicitanților de certificate digitale, precum și documentele necesare procesului de emitere, depind de clasa în care este încadrat certificatul solicitat. În cazul certificatelor digitale simple (necalificate), Autorităților de Înregistrare le revine responsabilitatea de a verifica corectitudinea adresei de e-mail furnizată de către solicitant în cerere. În schimb, în cazul certificatelor digitale calificate, identificarea solicitantului se realizează printr-o procedura strictă, impusă de Legea nr. 455/2001 privind semnătura electronică, și anume: prezența fizică a solicitantului la una dintre Autoritățile de Înregistrare DigiSign, identificarea realizandu-se în baza unui act de identitate al acestuia, în original, recunoscut de către autoritățile române. Singura alternativa a acestui proces, acceptată de către legislația în vigoare, este identificarea solicitantului de către un notar public, care ulterior emite duplicate având aceeași putere juridică ca și actul original.

1.2.3. Autoritatea de Validare

Autoritatea de Validare – AV, reprezintă sistemul în care Autoritatea de Certificare depozitează certificatele digitale emise precum și lista de certificate revocate (urmare a cererilor primite prin intermediul Autorităților de Înregistrare). De asemenea, Autoritatea de Validare este responsabilă de generarea răspunsului la interogările primite prin protocolul de verificare online a stării certificatelor – OCSP.

Ca și Autoritățile de Certificare și cele de Înregistrare, subordonate domeniului DigiSign, Autoritatea de Validare este un participant important în cadrul procesului de certificare; are un rol deosebit în cadrul acestui proces, creând legătura dintre Abonați și Entitățile Partenere.

1.2.4. Utilizatorii

Autoritățile de Certificare DigiSign emit certificate digitale pentru orice entitate solicitantă, în baza limitelor legislative în vigoare și conform necesităților solicitanților.

Utilizatorii certificatelor digitale calificate sunt acei participanți la procesul de certificare care sunt reprezentați fie de Abonați, fie de Entitățile Partenere.

Un Abonat reprezintă o entitate al cărei identificator se regăsește în câmpul Subject al certificatului digital emis pentru acesta și care nu emite certificate altor entități.

O Entitate Parteneră reprezintă acea entitate care utilizează certificatul digital al unui Abonat pentru a verifica semnătura electronică asociată acestuia, în vederea acceptării sau respingerii respectivului certificat.

1.2.5. Depozitul și Registrul Public

Pagina 17 din 86

Depozitul și Registrul Public au statusul de participanți la procesul de certificare datorită faptului că îndeplinesc funcții bine determinate și foarte importante. Acestea sunt spații virtuale unde sunt publicate certificatele digitale emise de către Autoritățile de Certificare DigiSign și politiciile și procedurile care reglementează modul de funcționare a societății DigiSign S.A.

Funcțiile, scopul și conținutul Depozitului și ale Registrului Public sunt descrise în cadrul Capitolului 2 – Depozitul și publicarea informațiilor.

1.3. Utilizarea certificatului digital

Acest capitol stabilește scopul în care poate fi utilizat un certificat digital emis de una din Autoritățile de Certificare DigiSign, scop definit de două elemente: aria de aplicabilitate a certificatelor digitale și aplicațiile recomandate de către DigiSign.

1.3.1 Aria de aplicabilitate

Supus legislației în vigoare, un certificat digital emis de o Autoritate de Certificare DigiSign, poate fi utilizat, fiind perfect valid, indiferent de locul în care se întreprind acțiuni cu acesta. De asemenea, certificatele digitale, furnizate de către DigiSign, au scopuri generale, putând fi utilizate la nivel global. DigiSign nu limitează utilizarea acestora la un anumit mediu de afaceri, cum ar fi un program pilot, un sistem de servicii financiare sau un mediu de piață virtuală. Cu toate acestea, DigiSign nu este responsabilă pentru monitorizarea sau impunerea unor anumite restricții de utilizare a certificatelor digitale în aceste medii.

Aria de aplicabilitate a certificatelor digitale emise de către Autoritățile de Certificare DigiSign acoperă următoarele utilități:

✓ autentificarea;

✓ semnarea (extinsă) electronică;

✓ non-repudierea datelor;

✓ confidențialitatea datelor;

✓ integritatea datelor;

✓ criptarea sau decriptarea datelor;

✓ verificarea unei semnături (extinse) electronice;

✓ validarea online a stării certificatelor prin intermediul protocolului OCSP;

✓ marcarea temporală.

DigiSign poate personaliza, la solicitarea utilizatorului, extensia unui certificat digital emis, astfel încât acesta să poate fi utilizat pentru semnarea de cod, autentificarea server Web, MS Smart Card Logon, MS Document Signing, Internet Key Exchange for Ipsec, MS Encrypted File System (EFS), Time Stamping, OCSP Signer.

DigiSign furnizează următoarele tipuri de certificate digitale, având arii diferite de aplicabilitate:

➢ Certificat digital simplu – creează o semnătura electronică simplă (neextinsă) și permite semnarea e-mail-urilor și a fișierelor, precum și autentificarea unui abonat;

➢ Certificat digital calificat – creează o semnătură electronică exstinsă (în înțelesul dat de Legea 455/2001 privind semnătura electronică), asigură identitatea titularului și poate fi utilizat pentru securizarea tranzacțiilor online, a autentificării pe diferite portaluri, criptare, marcare temporală, semnarea e-mail-urilor și a fișierelor;

➢ Certificat digital pentru criptare – utilizat pentru a asigura o securitate sporită a confidențialității datelor transmise sau primite;

Pagina 18 din 86

➢ Certificat digital pentru semnare de cod – este utilizat pentru a proteja software-ul

împotriva falsificării;

➢ Certificat digital pentru confirmara autenticității serverelor – utilizate de serviciile care operează pe baza protocoalelor SSL/TLS/WTLS;

➢ Certificat digital pentru confirmarea stării unui certificat – utilizate de serverele care funcționează conform protocolului OCSP și care furnizează informații despre starea certificatelor digitale emise; Certificatele digitale ale Autorităților de Marcare Temporală – utilizate de serverele care, ca răspuns la cererea unui Abonat, emit mărci temporale prin care asociază unor date, fie ele documente, mesaje, semnături electronice etc, un moment de timp pe baza căruia se poate garanta forma acelor date la un anumit moment de timp;

➢ Certificatele digitale ale Autorităților de Certificare – utilizarea acestora nu este restricționată la aria definită, aplicabilitatea lor fiind dată de extensia din certificate care stabilește modul în care va fi folosită cheia lor privată.

În general, un certificat digital emis de către una din Autoritățile de Certificare DigiSign poate fi utilizat doar în scopul exprimat în cererea de emitere a acestuia și numai conform extensiei folosite pentru generarea respectivului certificat. Nivelul de sensibilitate al informațiilor până la care se dorește a se proteja sau autentifica date, trebuie evaluat de către utilizator. Acest nivel de sensibilitate stă la baza deciziei de a alege și a solicita unul din tipurile de certificate digitale furnizate de către DigiSign. În acest mod se delimitează aria de aplicabilitate a fiecărui tip de certificat. Spre exemplu, certificatul digital ale Autorității de Certificare, DigiSign Qualified Public CA v2 nu poate fi utilizat pentru alte funcții decât cele specifice unei AC. Mai mult, certificatele digitale emise pentru Abonați nu pot fi utilizate ca certificate digitale de autentificare a serverelor WEB sau pentru emiterea unor alte certificate.

1.3.2. Aplicațiile recomandate

Certificatele digitale emise conform uneia dintre politicile de certificare DigiSign pot fi utilizate în aplicații ce satisfac cel puțin următoarele condiții:

➢ gestionează corespunzător cheile publice și private; ➢ certificatele și cheile publice asociate acestora sunt folosite conform scopurilor

declarate ale acestora în extensia lor, confirmate de către DigiSign; ➢ dispun de mecanisme interne de verificare a stării certificatelor, de creare a căilor de

certificare și controlul validității; ➢ oferă utilizatorului informații corespunzătoare privind certificatele și starea acestora.

DigiSign oferă solicitanților de certificate digitale posibilitatea de a-și genera propriile perechi de chei folosite în procesul de certificare prin intermediul dispozitivelor criptografice securizate recomandate. Dispozitivele criptografice securizate folosite și recomandate de către DigiSign satisfac cel puțin cerințele standardului FIPS PUB 140-2. Lista tuturor aplicațiilor vizate și recomandate de către DigiSign este publicată la adresa: www.digisign.ro.

1.4. Politica de administrare a Codului de Practici și Proceduri DigiSign

Pagina 19 din 86

Administrarea Codului de Practici și Proceduri DigiSign este realizată de către Departamentul de Dezvoltare și Cercetare DigiSign, format din personal calificat care deține experiență în fiecare segment de afacere vizat.

1.4.1. Managamentul CPP

Prezenta versiune a Codului de Practici și Proceduri DigiSign este datată în august 2015

Utilizatorii produselor și serviciilor de certificare furnizate de către DigiSign trebuie să respecte numai versiunile Politicii de Certificare și ale Codului de Practici și Proceduri DigiSign care sunt în vigoare la momentul, la adresa: www.digisign.ro.

Fiecare versiune a Codului de Practici și Proceduri DigiSign este în vigoare, starea sa este de actualitate până la momentul publicării și aprobării unei noi versiuni. Procesul prin care se implementează o nouă versiune a prezentului cod presupune:

- aprobarea tuturor sesizărilor și sugestiilor trimise de către entitățile interesate, daca

este cazul;

- actualizarea informațiilor conform îmbunătăților aduse fluxului operațional din cadrul

DigiSign;

- modificarea propriu-zisă a documentului;

- publicarea respectivului document pentru informarea utilizatorilor și pentru

eventualele comentarii, cu statusul „spre aprobare”;

- aprobarea documentului și trimiterea acestuia către Autoritatea de Reglementare și

Supraveghere;

- publicarea, în termen de 10 zile, a noii versiuni, cu statusul „în vigoare”.

Regulile și cerințele cu privire la managementul Codului de Practici și Proceduri DigiSign, guvernează și managementul Politicii de Certificare DigiSign. Responsablitatea administrării Politicii de Certificare și a Codului de Practici și Proceduri DigiSign revine managerului departamentului care asigură buna furnizare a serviciilor de certificare.

1.4.1.1. Procedura de modificare

Modificările ce pot surveni în cadrul acestui document sunt determinate de îmbunătățirile periodice ale fluxurilor operaționale desfășurate de către DigiSign, de noi reglementări apărute în domeniul PKI sau pot fi rezultatul aprobării sugestiilor primite din partea entităților interesate.

DigiSign își rezervă drepturile de a efectua modificări de formă sau conținut asupra prezentului document. Orice modificare majoră, de fond, a Codului de Practici și Proceduri, se implementează după informarea utilizatorilor DigiSign. Implementarea eventualelor modificări de fond, actualizează implicit numărul de versiune al Codului de Practici și Proceduri, precum și data de emitere a acesteia.

Orice revizuire a prezentului cod fără impact sau cu impact nesemnificativ asupra utilizatorilor, fie ei Abonați sau Entități Partenere care folosesc atât certificatele digitale emise de Autoritățile de Certificare DigiSign, cât și informațiile corespunzatoare legate de starea respectivelor certificate, se poate realiza și înregistra fără o notificare a utilizatorilor mai sus menționați, și nu implică modificarea numărului de versiune și implicit, a datei de intrare în vigoare.

Propunerile de modificare a prezentului document pot fi trimise în atenția Departamentului de Dezvoltare și Cercetare DigiSign, conform Capitolul 1.5.2. – Adresa de Contact și trebuie să

Pagina 20 din 86

conțină descrierea modificărilor necesare, motivele acestor modificări și să ofere mijloace de contact ale persoanei care solicită modificările respective. DigiSign nu va lua în considerare nici o propunere de modificare a Codului de Practici și Proceduri dacă aceasta nu respectă condițiile mai sus menționate.

1.4.1.2. Procedura de publicare si notificare

Codul de Practici și Proceduri DigiSign este disponibil astfel:

➢ în format electronic, la adresa: https://www.digisign.ro/cpp/

➢ în format fizic, solicitat printr-o scrisoare trimisă către sediul social DigiSign.

Prin interfața online de afișare a informațiilor cu caracter public, respectiv Depozitul, DigiSign pune la dispoziția utilizatorilor trei versiuni ale Codului de Practici și Proceduri, și anume: versiunea în vigoare, versiunea anterioară și versiunea spre aprobare, dacă este cazul.

Din momentul publicării versiunii cu statusul spre aprobare, utilizatorilor le este pus la dispoziție un termen de 10 zile în care pot trimite sesizări cu privire la modificările propuse de DigiSign prin respectiva versiune a codului. Dacă în acest termen DigiSign nu primește remarci relevante, documentul urmează procedura de aprobare internă.

Toate documentele auxiliare Codului de Practici și Proceduri DigiSign, precum regulamentele interne, sau documentația de securitate sunt considerate confidențiale și nu sunt disponibile public datorită importanței informațiilor conținute pentru securitatea sistemului.

1.4.1.3. Procedura de aprobare

Odată cu analizarea modificărilor de implementat, Codul de Practici și Proceduri DigiSign intră în procedura de aprobare internă gestionată de către un comitet format din Directorul General, Administratorul de Securitate și managerii departamentelor tehnice.

Odată aprobată noua versiune, documentul este transmis Autorității de Reglementare și Supraveghere, urmând ca în termen de 10 zile să fie publicat și marcat „în vigoare”.

În momentul schimbării statusului „în vigoare”, versiunea respectivă a codului devine documentul care guvernează asupra furnizării produselor și serviciilor de certificare DigiSign și trebuie respectat de către toți utilizatorii DigiSign.

Abonații care nu accepta noul Cod de Practici și Proceduri DigiSign, conținând termenii și reglementările modificate, sunt obligați să depună, în termen de 15 zile de la data la care noua versiune a codului a intrat în vigoare, o declarație în acest sens. Înaintarea către DigiSign a unei astfel de declarații duce la încetarea contractului de servicii de certificare și la revocarea certificatului digital emis în baza acestuia.

1.4.2. Adresa de contact

Informații adiționale despre prezentul Cod de Practici și Proceduri se pot obține, la cerere, prin solicitare în format electronic trimisă la adresa: cpp@digisign.ro sau în format fizic trimisă către DigiSign SA cu sediul în str. Virgil Madgearu, nr. 2 – 6, sector 1, 014135, București, România, în atenția Departamentului de Dezvoltare și Cercetare-Digisign S.A..

2. Depozitul și publicarea informațiilor

Pagina 21 din 86

2.1. Depozitul

Depozitul este sursa informațională de bază pentru toți participanții la procesul de certificare și reprezintă interfața publică de unde se pot accesa următoarele informații:

✓ Fișa tehnică a dispozitivelor securizate criptografic SafeNet e-Token PRO, SafeNet e-Token 5100, SafeNet e-Token 5105 și fișierul hash-urilor SHA1 pentru aplicațiile furnizate;

✓ Actele normative care reglementează activitatea DigiSign; ✓ Acreditările companiei DigiSign; ✓ Versiunile curente și anterioare ale Codurilor de Practici și Proceduri și ale Politici de

Certificare DigiSign; ✓ Politica de confidențialitate și Politica SMI; ✓ Condițiile generale de furnizare a produselor și serviciilor de certificare DigiSign

Toate informațiile publicate în depozit sunt disponibile la adresa: https://www.digisign.ro sau prin intermediul protocolului LDAP.

2.2. Registrul public

DigiSign menține un registru electronic de evidență a certificatelor digitale emise care este disponibil permanent pentru consultare la adresa www.digisign.ro.

Registrul public este format din lista certificatelor digitale emise în ierarhie publică, precum și lista mărcilor temporale emise de către Autoritatea de Marcare Temporală DigiSign.

Datorită importanței pe care o are conținutul Registrului public, DigiSign a implementat mecanisme logice și fizice de protecție împotriva oricărei acțiuni neautorizate (adăugare, modificare, ștergere) asupra informațiilor din Registru.

2.3. Informații publicate de către DigiSign

DigiSign asigură accesul la toate informațiile necesare utilizării corecte și în condiții de siguranță a serviciilor sale prin intermediul interfeței online: www.digisign.ro.

Alături de Registrul public și Depozitul, DigiSign publică instrucțiuni de utilizare ale certificatelor digitale furnizate, ale aplicațiilor recomandate pentru utilizarea respectivelor certificate, dar și informații despre servicii și aplicații conexe.

2.4. Frecvența publicării

DigiSign publică informații și actualizează conținutul site-ului oficial (www.digisign.ro) după cum urmează:

➢ Versiunile Codului de Practici și Proceduri al Autorităților de Certificare DigiSign sunt publicate conform Capitolului 1.5.1. – Managementul CPP.

➢ Certificatele digitale emise în ierarhie publică sunt înscrise în Registrului public imediat după acceptarea acestora de către titular.

➢ Informațiile destinate utilizării corespunzătoare a certificatelor digitale și a aplicațiilor conexe, sunt actualizate și publicate o dată cu îmbunătățirea acestora.

2.5. Accesul la infomații

Pagina 22 din 86

Toate informațiile publicate de către DigiSign prin interfața online (www.digisign.ro) au caracter public și nu sunt necesare drepturi speciale pentru vizualizarea acestora.

3. Prevederi generale ale CPP-ului

În cadrul acestui capitol sunt descrise obligațiile, responsabilitățile și garanțiile tuturor participanților la procesul de certificare: Autoritățile de Înregistrare, Autoritățile de Certificare, Abonații, Entitățile Partenere și Depozitul.

DigiSign se angajează să furnizeze servicii de certificare numai în baza încheierii unui contract și întotdeauna la solicitarea unui Abonat, unei Entități Partenere sau unei Autorități de Certificare. Astfel, obligațiile, responsabilitățile și garanțiile sunt guvernate de acordurile mutuale stabilite între părți.

Codul de Practici și Proceduri DigiSign, precum și Politica de Certificare, sunt parte integrantă a oricărui contract încheiat între DigiSign și solicitanții de servicii de certificare. Prevederile prezentului CPP prevalează asupra contractelor încheiate, în caz de dubiu sau neconcordanță.

3.1. Obligații

3.1.1. Obligațiile Autorităților de Certificare (AC)

Prin Politica de Certificare asumată și pusă la dispoziția utilizatorilor, DigiSign are următoarele obligații:

• Să creeze documente care să definească în mod clar modalitățile de lucru, procedurile

aplicabile, obligațiile și drepturile părților participante la procesul de certificare, Politica de

Certificare DigiSign, precum și afișarea acestora în mod public la adresa: www.digisign.ro;

• Să își desfășoare activitățile în conformitate cu prevederile prezentului CPP și a Politicii de

Certificare;

• Să asigure accesul la informațiile necesare utilizării corecte și în condiții de siguranță a

serviciilor sale;

• Să asigure protecția datelor cu caracter personal, în conformitate cu Legea nr. 677/2001

privind protecția datelor cu caracter personal și cu Legea nr. 506/2004 privind prelucrarea

datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;

• Să informeze utilizatorii despre obligațiile pe care le au conform prezentului CPP, precum și

a riscului la care se supun în cazul nerespectării acestor obligații;

• Să emită, conform prezentului CPP, în termen de cel mult o (1) zi lucrătoare certificatele

digitale simple și cinci (5) zile lucrătoare certificatele digitale calificate;

• Să revoce sau să suspende, după caz, certificatele utilizatorilor despre care se știe cu

siguranță sau există motive puternice pentru a crede că au acționat în contradicție cu

obligațiile ce le revin, așa cum sunt ele descrise în acest CPP;

Pagina 23 din 86

• Să notifice titularul certificatului, în cazul revocării sau suspendării certificatului acestuia,

despre măsura luată;

• Să asigure o infrastructură care să permită utilizarea funcțiilor de înregistrare a cererilor și de

emitere, revocare sau suspendare a certificatelor digitale, prin mijloace electronice;

• Să creeze și să administreze un registru de evidență a certificatelor digitale emise de către

orice AC, care să permită în orice moment accesul la informațiile privind respectivele

certificate;

• Să creeze și să administreze o listă de aplicații recomandate care îndeplinesc cerințele

Capitolului 1.4.2. – Aplicațiile recomandate.

• Să dispună de mijloace financiare și resurse materiale, tehnice și umane corespunzătoare,

pentru garantarea securității, fiabilității și continuității serviciilor de certificare oferite;

• Să asigure posibilitatea de a determina cu precizie data și ora exactă a emiterii, suspendării

sau revocării unui certificat digital;

• Să folosească personal cu cunoștințe de specialitate, cu experiență și calificare, necesare

pentru furnizarea serviciilor de certificare și, în special, competență în domeniul gestiunii,

cunoștințe de specialitate în domeniul tehnologiei PKI, precum și o practică temeinică în ceea

ce privește procedurile de securitate corespunzătoare standardelor recunoscute;

• Să utilizeze produse asociate semnăturii electronice cu un grad înalt de fiabilitate, care sunt

protejate împotriva modificărilor și care asigură securitatea tehnică și criptografică a

desfășurării activităților de certificare;

• Să adopte măsuri împotriva falsificării certificatelor și să garanteze confidențialitatea în cursul

procesului de generare a datelor de creare a semnăturilor, în cazul în care DigiSign este

împuternicită cu generare acestor date;

• Să nu stocheze, să nu reproducă și să nu dezvăluie terților datele de creare a semnăturii, cu

excepția cazului în care titularii certificatelor digitale solicită aceasta;

• Să utilizeze numai mecanisme securizate de creare a semnăturii electronice;

• Să informeze imediat autoritatea de supraveghere în situația în care se află în imposibilitate

de a continua activitățile furnizare a serviciilor de certificare;

• Să asigure exactitatea, la momentul emiterii certificatului digital, a tuturor informațiilor pe care

acesta le conține;

• Să gestioneze datele utilizând un sistem informatic în măsură să asigure securitatea

sistemelor, comunicațiilor și tranzacțiilor conform standardelor recunoscute, menționate în

cadrul Capitolului 9 – Standarde și recomandări internaționale;

Pagina 24 din 86

• Să efectueze auditurile planificate în cadrul Autorităților de Certificare și Autorităților de

Înregistrare care aparțin de domeniul DigiSign.

3.1.2. Obligatiile Autorității de Înregistrare (AI)

Autoritatea de Înregistrare reprezintă un centru de procesare a informațiilor furnizate de către solicitant, care garantează îndeplinirea funcțiilor de indentificare și aprobare sau respingere a cererilor. În prezentul CPP sunt specificate atât obligațiile Autorității de Înregistrare care corespunde cu DigiSign, cât și Autorităților de Înregistrare afiliate DigiSign care, în acest caz, respectă contractul semnat cu DigiSign, precum și prevederile prezentului CPP. Oricare Autoritate de Înregistrare DigiSign respectă prevederile acestui CPP și are următoarele obligații:

• Să se supună oricărei recomandări DigiSign, în special celor rezultate în urma auditurilor;

• Să asigure protecția datelor cu caracter personal, în conformitate cu Legea nr. 677/2001

privind protecția datelor cu caracter personal și cu Legea nr. 506/2004 privind prelucrarea

datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;

• Să transmită Contractul Cadru de Furnizare a Serviciilor de Certificare, precum și a

Declarației pe proprie răspundere către fiecare solicitant;

• Să verifice datele furnizate de către solicitanți, conform prezentului CPP, în termen de cel

mult o (1) zi lucrătoare pentru certificatele digitale simple și cinci (5) zile lucrătoare pentru

certificatele digitale calificate;

• Să verifice dacă solicitantul certificatului este persoana identificată în cerere, prin procedură

adecvată categoriei din care face parte certificatul;

• Să asigure identificarea solicitantului numai în baza actului de identitate recunoscut de

autoritățile române, în cazul certificatelor digitale calificate;

• Să trimită Autorității de Certificare Emitentă cererea de emitere, suspendare sau revocare a

unui certificat digital numai după verificarea în prealabil a acesteia;

• Să asigure transmiterea în siguranță a cheilor și a PIN-ului de accesare a acestora.

3.1.3. Obligațiile Abonaților

Titularii certificatelor digitale emise de către Autoritățile de Certificare din cadrul DigiSign au următoarele obligații:

• Să respecte prevederile prezentului CPP și obligațiile ce le revin din acesta;

• Să furnizeze informații complete și corecte în cererile de solicitare a certificatelor digitale;

• Să prezinte unei Autorități de Înregistrare DigiSign toate documentele necesare procesului

de emitere a certificatelor digitale

Pagina 25 din 86

• Să împuternicească Autoritatea de Certificare cu generarea perechii de chei sau să prezinte

dovada posesiei cheii private, în cazul în care își generează singuri perechea de chei;

• Să nu dezvăluie codul PIN de accesare a dispozitivelor securizate criptografice care conțin

certificatul digital;

• Să se informeze cu privire la certificatele digitale și modul corespunzător de utilizare al

acestora;

• Să utilizeaze certificatele digitale și cheile corespunzătoare acestora numai în scopurile

declarate în certificat și în concordanță cu ariile aplicabilitate prevăzute în prezentul CPP;

• Să considere pierderea sau dezvăluirea codului PIN ca o pierdere sau dezvăluire a cheii

private;

• Să păstreze secretul datelor de creare a semnăturii;

• Să solicite de îndată revocarea certificatelor în cazul în care au pierdut datele de creare a

semnăturii și au motive să creadă ca datele de creare a semnăturii au ajuns la cunoștința

unui terț neautorizat sau informațiile esențiale cuprinse în certificat nu mai corespund

realității.

Obligațiile utilizatorului sunt formulate în anexa Termeni și Condiții Generale de Furnizare a

Servicilor de Certificare, care face parte integrantă a contractului ce se semnează între Abonat

și DigiSign. Astfel, conform contractului, utilizatorul se angajează să:

• Să achite contravaloarea serviciilor prestate de DigiSign;

• Să își exprime acordul fata de termenii respectivului contract;

• Să furnizeze catre DigiSign datele sale de identificare corecte și complete;

• Să iși exprime acordul explicit cu privire la înregistrarea, stocarea și prelucrarea datelor

personale în vederea furnizării seriviciului, cât și la utilizarea unora din aceste date pentru a

crea registre ale Abonaților în format electronic, cu același scop;

• Să utilizeze doar dispozitive criptografice și aplicații software recomandate de DigiSign în

cazul în care își generează singur cheile;

• Să ia măsurile necesare care să permită generarea corespunzătoare (de către el însuși sau

de către DigiSign) și stocarea în siguranță a cheii private din cadrul unei perechi de chei

pentru a preveni pierderea, compromiterea, modificarea și folosirea neautorizată a acesteia;

va proteja cheia privata de furturi, deteriorări, modificări ale conţinutului sau alte compromiteri

ale acesteia; Abonatului ii este interzisă duplicarea cheii private.

Pagina 26 din 86

• Să solicite, de îndată, revocarea certificatului atunci cănd a pierdut datele de creare a

semnăturii electronice sau când are motive să creadă că datele de creare a semnăturii

electronice au ajuns la cunoștința unui terț neautorizat;

• Să solicite revocarea certificatului digital imediat ce informațiile esențiale cuprinse în certificat

nu mai corespund realității;

• Să respecte termenii de furnizare de servicii de certificare prevăzuți în CPP, precum și

ghidurile și instrucțiunile puse la dispoziția sa de către DigiSign privind utilizarea

corespunzătoare a certificatelor digitale.

3.1.4. Obligațiile Entităților Partenere

Obligațiile Entităților Partenere rezultă din contractele încheiate de DigiSign cu aceștia. Obiectul unor astfel de contracte îl constituie fie furnizarea de servicii de certificare, de servicii de tip depozit, marcare temporală sau servicii de verificare a stării certificatelor prin protocolul OCSP. Astfel, constituie obligație pentru Entitatea Parteneră:

• acordul și respectarea termenilor și condițiilor din contract, precum și prevederile prezentului

Cod de Practici și Proceduri;

• verificarea amănunțită a fiecărei semnături electronice aplicate cu un certificat digital emis de

către Autoritățile de Certificare DigiSign;

• utilizarea corespunzătoare a funcțiilor criptografice, folosind aplicații software și dispozitive

cu un nivel de securitate aferent nivelului de credibilitate al certificatului procesat;

• clasificarea imediată a certificatului ca invalid dacă, prin mijloacele software sau dispozitive

hardware utilizate, nu s-a dovedit că semnătura electronică, aplicată cu respectivul certificat,

este validă sau dacă rezultatul verificării efectuate este negativ;

• verificarea corespunzătoare a unei semnături electronice: semnătura electronică a fost sau

nu creată prin intermediul unei chei private aferentă unei chei publice dintr-un certificat emis

de DigiSign pentru Abonat și datele cărora li s-au aplicat o semnătură electronică au fost sau

nu modificate după aplicarea semnăturii;

• stabilirea condițiilor pe care un certificat de cheie publică și o semnătură electronică trebuie

să le îndeplinească pentru a fi considerate valide;

Documentele care prezintă o semnătură electronică eronată, trebuie să fie respinse sau

supuse altor proceduri care ar putea determina validitatea acestora. Entitatea Parteneră, care

acceptă o astfel de semnătură electronică poartă întreaga responsabilitate pentru consecințele

ce decurg din acest fapt.

3.1.5. Obligațiile Depozitului și ale Registrului Public

Atât Depozitul cât și Registrul public sunt create administrate și controlate de către DigiSign. Astfel, privind cele două enități, DigiSign se angajează:

Pagina 27 din 86

• Să asigure publicarea și arhivarea Politicii de Certificare, a Codului de Practici și Proceduri

al Autorităților de Certificare DigiSign, precum și a codului de Practici și Proceduri al Autorității

de Marcare Temporală DigiSign;

• Să asigure accesul permanent, controlat și sigur la cuprinsul Depozitului și al Registrului

public, precum și la toate informațiile necesare utilizării corespunzătoare a certificatelor

digitale emise prin publicarea acestora în interfața online www.digisign.ro;

• Să se asigure că toate certificatele emise, după aprobare în prealabil, sunt publicate și

arhivate în timp util și în mod corespunzător în Registrul public;

• Să depună toate eforturile necesare pentru a se asigura că toate certificatele digitale emise

sunt publicate în Registrul electronic, după recepționarea acordului titularilor acestora,

conform Capitolului 5.4. – Acceptarea certificatelor;

• Să permită accesul la toate informațiile despre starea certificatelor prin publicarea Liste de

Certificate Revocate (CRL), prin intermediul serverlor OCSP sau prin interogări HTTP;

• Să publice CRL-urile sau alte informații în timp util și în concordanță cu termenele limită

specificate în prezentul CPP.

3.2. Responsabilități

Responsabilitatea fiecărei părţi participante la procesul de certificare este reglementată atât de prevederile prezentului CPP cât și de contractul încheiat între părți.

În anumite cazuri excepționale, și dacă, contractul încheiat între părți prevede acest lucru, răspunderea juridică a uneia dintre părți poate fi preluată sau delegată altei entități. Un caz în care poate apărea o asemenea situație îl constituie delegarea responsabilității de identificare a solicitantului unei Autorități de Înregistrare afiliate DigiSign.

DigiSign este responsabilă din punct de vedere juridic pentru consecințele acțunilor întreprinse de către Autoritățile de Certificare DigiSign, Autoritatea de Înregistrare DigiSign, precum și de conținutul cuprins în Depozit și în Registrul Public.

Prevederile prezentului CPP privind responsabilitățile DigiSign nu elimină și nici nu substituie răspunderea ce decurge din contractele încheiate între părți.

3.2.1. Responsabilitățile Autorităților de Certificare (AC)

Autoritățile de Certificare din cadrul DigiSign sunt responsabile, în caz de neexcutare sau de executare necorespunzătoare a oricăreia din obligațiile asumate pentru prejudiciile aduse Abonaților sau Entităților Partenere. DigiSign își asumă responsabilitatea pentru următoarele, cu excepția cazurilor în care DigiSign probează că, deși a depus toate eforturile necesare, nu a putut împiedica producerea prejudiciului, datorită intervenției unor împrejurări care înlătura vinovăția sau caracterul ilicit al faptei sale:

• pentru exactitatea, în momentul eliberării certificatului digital, a tuturor informațiilor pe care

acesta le conține;

Pagina 28 din 86

• asigurarea că, în momentul eliberării certificatului digital, titularul certificatului deținea datele

de generare a semnăturii electronice corespunzătoare datelor de verificare a semnăturii

menționate în respectivul certificat;

• asigurarea că datele de generare a semnăturii corespund datelor de verificare a semnăturii,

în cazul în care DigiSign le generează pe amandouă;

• Erorile DigiSign, precum discrepanțele dintre procedurile declarate de identificare ale

solicitantului și procesul efectiv, utilizarea neadecvată a cheilor private a Autortăților de

Certificare DigiSign, imposibilitatea de a accesa și utiliza serviciile oferite, numai daca se

probează culpa DigiSign;

• încălcarea obligațiilor DigiSign prevăzute în prezentul CPP și în contractul încheiat între părți,

numai daca se probează culpa DigiSign.

3.2.2. Responsabilitățile Autorităților de Înregistrare – AI .

Autoritățile de Înregistrare pot fi trase la răspundere strict pentru aspectele ce fac obiectul activității lor. În cazul în care DigiSign este Autoritatea de Înregistrare, întreaga responsabilitate este preluată automat de către DigiSign. Astfel, dacă Autoritatea de Înregistrare DigiSign nu își îndeplinește în mod corespunzător atribuțile sale, întreaga răspundere juridică ce rezultă din încălcarea obligațiilor descrise în Capitolul 3.1.2. – Obligațiile Autorităților de Înregistrare (AI), revine companiei DigiSign.

În cazul în care Autoritea de Înregistrare este afiliată DigiSign, responsabilitatea acțiunilor întreprinse revine Autorității respective, responsabilitate reglementată de contractul încheiat între Autoritatea de Înregistrare și DigiSign.

Responsabilitățile Autorităților de Înregistrare DigiSign reies din obligațiile asumate de către

acestea, în ceea ce privește:

• Protecția datelor cu caracter personal;

• Corectitudinea datelor înscrise în cererile pentru certificat;

• Documentele necesare procesului de emitere;

• Identificarea solicitanților de certificate digitale calificate, numai în baza unui act de identitate

în original, recunoscut de autoritățile române;

• Cererile pe care le trimite către Autoritățile de Certificare;

• Trimiterea certificatelor și a codurilor PIN către titulari.

3.2.3. Responsabilitățile utilizatorilor

Răspunderea juridică a utilizatorilor – Abonați și Entități Partenere, rezultă din obligațiile acestora, stipulate atât în prezentul CPP, în cadrul Capitolelor 3.1.3 – Obligațiile Abonaților și 3.1.4 – Obligațiile Entităților Partenere, cât și în contractele încheiate cu aceștia.

Conform prevederilor contractelor încheiate între DigiSign și utilizatori, este necesar ca aceștia din urmă să confirme că dețin suficiente informații pentru a putea lua o decizie cu privire la acceptarea sau respingerea unei semnături electronice, în momentul verificării acesteia.

Utilizatorii certificatelor digitale DigiSign sunt responsabili pentru:

• Exactitatea datelor declarate în cererile de înregistrare;

Pagina 29 din 86

• Autenticitatea documentelor prezentate Autorităților de Înregistrare;

• Acceptarea certificatului digital emis, fapt ce presupune automat că certificatul recepționat nu

prezintă greșeli datorate neglijenței sau încălcării procedurilor de către persoanele care

prelucrează cererile de certificat sau de către cele care eliberează certificatele;

• Neglijarea măsurilor de securitate asupra cheii private, având ca efect pierderea,

compromiterea sau folosirea neautorizată a acesteia.

3.2.4. Responsabilitățile Depozitului și ale Registrului Public

Responsabilitatea pentru conținutul Depozitului și al Registrului Public, precum și consecințele funcționării acestora, aparțin DigiSign.

3.2.5. Responsabilitatea financiară

DigiSign SA detine resursele financiare pentru a menține operațiunile întreprinse, precum și pentru executarea îndatoririlor, asigurând faptul că iși asumă riscul răspunderii față de cealaltă parte contractantă in conformitate cu dispozitiile art. 22 din Legea nr. 455/2001 privind semnătura electronică.

DigiSign SA va acoperi prejudiciile pe care le-ar putea cauza cu prilejul desfășurării activității de certificare, tuturor persoanelor care își întemeiază conduita pe efectele juridice ale certificatelor digitale calificate, până la concurența echivalentului în lei (RON) a sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat reprezintă fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către furnizor a unei obligații prevăzute de lege.

Pe de altă parte, în măsura limitelor legale, DigiSign SA, poate solicita Abonaților să o despăgubească în unul din următoarele cazuri:

➢ fals in declaratii si uz de fals;

➢ relatare greșită a unei informații importante în cererea pentru certificat, dacă relatarea

sau omisiunea a fost făcută din neglijență sau cu intenția de a înșela una dintre părți;

➢ neprotejarea cheii private sau omiterea luării măsurilor de protecție necesare prevenirii,

compromiterii, pierderii, dezvăluirii, modificării sau folosirii neautorizate a cheii private;

➢ utilizarea unui nume (inclusiv nume comun, nume de domeniu sau adresa de email)

care încalcă drepturile de proprietate intelectuală a unui terț.

3.2.6. Limitări ale răspunderii. Forța majoră

DigiSign nu își asumă responsabilitatea pentru acțiunile Abonaților, Entităților Partenere sau ale altor părți care nu sunt asociate cu DigiSign. DigiSign nu este responsabilă pentru:

• Daunele cauzate de forța majoră și/sau cazul fortuit. Se înțelege prin caz de forță majoră acel

eveniment imprevizibil și de neînlăturat produs ulterior perfectării contractului precum:

incendiu, cutremur, orice altă calamitate naturală, precum și războiul. Împrejurarea relativ

imprevizibilă și relativ invincibilă, neavând caracter extraordinar, precum: grevele, restricțiile

legale, alte asemenea evenimente, definesc cazul fortuit;

Pagina 30 din 86

• Daunele cauzate de instalarea și utilizarea aplicațiilor sau dispozitivelor folosite pentru

generarea și gestionarea cheilor criptografice, criptare, creare de semnături electronice, care

nu îndeplinesc condițiile minime specificate în prezentul CPP sau in ghidurile și instrucțiunile

puse la dispoziția Utilizatorilor de către DigiSign prin intermediul portalului www.digisign.ro;

• Daunele cauzate de utilizarea necorespunzătoare a certificatelor digitale emise. Prin utilizare

necorespunzătoare se înțelege utilizarea unui certificat revocat sau suspendat sau în

neconcordanță cu scopul declarat al certificatului, specificat în prezentul CPP;

• Stocarea de date eronate în bazele de date DigiSign și includerea acestora în certificatele

digitale emise, în cazul în care utilizatorul a declarat că aceste date sunt corecte;

• Prejudiciile cauzate de furtul sau deteriorarea suporturilor materiale pe care au fost emise

certificatele digitale, folosirea neautorizată a acestora sau pentru orice fel de neglijență a

utilizatorului privind păstrarea și utilizarea acestora;

• Situația în care un certificat nu a fost acceptat de către Abonat, iar acesta nu a declarat în

mod explicit acest lucru către DigiSign, conform Capitolului 5.4. – Acceptarea certificatelor.

3.3. Garanțiile DigiSign

DigiSign garantează că:

• dispune de mijloace financiare și resurse materiale, tehnice și umane, corespunzătoare

pentru garantarea securității, fiabilității și continuității serviciilor de certificare pe care le oferă;

• dispune de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu

prilejul desfășurării activităților legate de furnizarea serviciilor de certificare;

• serviciile sale sunt în concordanță cu standardele și normele general acceptate, descrise în

cadrul Capitolului 9 – Standarde și recomandări internaționale;

• activitatea sa comercială se bazează pe dispozitive fiabile și aplicații software de încredere,

în conformitate cu prevederile legale în vigoare și nu încalcă drepturile de autor și nici

drepturile terților părți;

• impune și respectă toate procedurile descrise în prezentul CPP și în Politica de Certificare;

• asigură protecția datelor cu caracter personal în conformitate cu Legea nr. 677/2001 privind

protecția datelor cu caracter personal și cu Legea nr. 506/2004 privind prelucrarea datelor cu

caracter personal și protecția vieții private în sectorul comunicațiilor electronice;

• furnizează servicii de certificare numai în baza contractelor încheiate și întotdeauna la

solicitarea unui Abonat, unei Entități Partenere sau unei Autorități de Certificare;

• elaborează și administrează o listă de aplicații software, dispozitive recomandate, precum și

instrucțiuni de utilizare a acestora;

Pagina 31 din 86

• certificatele digitale emise satisfac toate cerințele prezentului CPP, ale Legii nr. 455/2001

privind semnătura electronică, ale Hotărârii Guvernului nr. 1259/2001 privind aprobarea

normelor tehnice și metodologice de aplicare ale Legii nr. 455/2001 pentru semnătura

electronică, precum și ale Directivei 1999/93/EC a Parlamentului și Consiliului European

încheiată la 13 decembrie 1999 privind cadrul comunitar pentru semnătura electronică, cu

toate modificările și completările ulterioare;

• publică informațiile necesare pentru recepția corectă, managementul și statusul certificatelor;

• emite și publică liste cu certificatele revocate sau suspendate în interfața online

www.digisign.ro, conform prezentului cod;

• oferă tot suportul tehnic necesar utilizării corespunzătoare și facile a certificatului digital emis.

3.4. Legislația aplicabilă. Durata. Aplicabilitatea.

3.4.1. Legislația aplicabilă

Activitățile desfășurate de către DigiSign în baza prevederilor prezentului Cod de Practici și Proceduri, precum și a Politicii de Certificare, sunt reglementate de către dispozițiile prevăzute de actele normative în vigoare din România, privind serviciile de certificare.

3.4.2. Intrarea în vigoare

Prezentul Cod de Practici și Proceduri intră în vigoare la data la care este trimisă notificarea către Autoritatea de Reglementare și Supraveghere și este valabil până la data emiterii unei noi versiuni. Orice modificare a prevedeilor acestui CPP sau introducere de noi prevederi, se desfășoară conform procedurilor descrise în Capitolul 1.5. – Politica de administrare a Codului de Practici și Proceduri DigiSign.

3.4.3. Aplicabilitatea

Prevederile prezentului Cod de Practici și Proceduri sunt aplicabile tuturor părților implicate în procesul de certificare, după cum sunt menționate în cadrul Capitolului 1.3. – Participanți în cadrul procesului de certificare.

3.4.4. Independența clauzelor

În cazul în care una dintre prevederile prezentului CPP sau ale contractelor ce au fost încheiate în baza lui, este considerată de către o instanță sau de către orice altă autoritate competentă, ca fiind nulă sau neaplicabilă, respectiva prevedere va fi eliminată din prezentul CPP sau din contractele încheiate în baza acestuia, iar celelalte prevederi ale Codului de Practici și Proceduri sau ale contractelor încheiate, vor rămâne valabile și vor continua să se aplice ca atare.

Pagina 32 din 86

3.4.5. Trimiteri

Prezentul Cod de Practici și Proceduri, precum și contractele încheiate în baza acestuia, pot conține referințe la alte prevederi, cu condiția ca acest lucru să fie stipulat ca o clauză separată în CPP sau în contract, iar respectivele prevederi la care se face referință să fie dispoziții scrise.

3.4.6. Dreptul de proprietate intelectuală

Toate mărcile, patentele, siglele, licențele, imaginile grafice etc, folosite de către DigiSign, sunt și vor rămâne proprietatea intelectuală a deținătorilor legali ai acestora. DigiSign se obligă să specifice acest lucru conform cerințelor impuse de către deținători.

Toate mărcile, patentele, siglele, licențele, imaginile grafice etc, aparținând DigiSign, sunt și vor rămâne proprietatea intelectuală a acesteia, indiferent dacă sunt însoțite sau nu de patente, modele de utilitate, copyright sau altele asemenea, și nu pot fi reproduse sau furnizate unei terțe părți fără acordul prealabil în scris al DigiSign.

DigiSign deține toate drepturile de proprietate intelectuală asupra certificatelor digitale emise, iar reproducerea acestora este strict interzisă.

Perechile de chei corespunzătoare certificatelor digitale emise pentru Abonați, sunt proprietatea titularilor specificați în conținutul respectivelor certificate.

Perechile de chei ale Autorităților de Certificare DigiSign, precum și certificatele auto-semnate utilizate de DigiSign, sunt proprietatea intelectuală a DigiSign.

3.4.7. Recunoașterea și rolul mărcilor înregistrate

Compania DigiSign are toate drepturile privind marca sa comercială înregistrată, reprezentată de următoarea imagine grafică și inscripție:

Imaginea grafică și inscripția nu pot fi reproduse sau utilizate fără permisiunea în scris a companiei DigiSign.

3.4.8. Soluționarea litigiilor

Părțile participante la procesul de certificare vor depune toate eforturile pentru a rezolva pe cale amiabilă, prin tratative directe, orice neînțelegere sau dispută care se poate ivi între acestea, în cadrul sau în legătură cu asumarea prevederilor prezentului Cod de Practici și Proceduri sau ale contractelor încheiate în baza acestuia. Părțile se pot folosi de orice mijloc de apărare admis de legislația în vigoare pentru susținerea punctelor de vedere. În cazul în care părțile nu reușesc să rezolve în mod amiabil a eventualelor dispute sau neînțelegeri, oricare din părți poate solicita ca disputa sau neînțelegerea să se soluționeze de către instanțele judecătorești competente din București.

Limba care guvernează prezentul Cod de Practici și Proceduri este limba română, iar documentul va fi interpretat conform legislației române în vigoare.

3.4.9. Procedura aplicată în cazul litigilor care au ca obiect revendicarea numelui

Pagina 33 din 86

Nu recomandăm utilizarea de către solicitanți a numelor care încalcă dreptul de proprietate al altor persoane, în cererile de emitere a certificatelor digitale.

DigiSign nu verifică dacă un solicitant deține drepturi de proprietate intelectuală pentru numele furnizat în cererea de emitere a unui certificat digital și nici nu arbitrează, mediază sau rezolvă eventualele dispute ce s-ar putea crea privind proprietea asupra numelui de domeniu, a mărcii comerciale sau a mărcii de serviciu. DigiSign este îndreptățită să respingă sau să suspende cererea unui solicitant în cazul conflictelor apărute privind dreptul de proprietate asupra numelor, fără a-și asuma vreo responsabilitate în acest sens.

3.4.10. Comunicări

Participanții la procesul de certificare, menționați în prezentul Cod, stabilesc, în baza înțelegerilor încheiate, metodele de notificare reciprocă. Dacă aceste metode nu sunt definite, prezentul CPP permite schimbul de informații utilizându-se poșta electronică, faxul, telefonul, protocoalele de rețea TCP/IP, HTTP, scrisoarea etc.

Pe de altă parte, alegerea mijloacelor de comunicare poate fi condiționată de tipul de informație vehiculată:

➢ Informațiile privind suportul tehnic oferit pentru utilizarea certificatelor digitale, pot fi transmise prin poșta electronică, fax, telefon, protocoale TCP/IP, HTTP, scrisoare;

➢ Informațiile privind ofertele comerciale, notificările de schimbare a datelor de identificare sau alte documente cu conținut relevant și important, pot fi transmise prin poșta electronică, fax, telefon, protocoale TCP/IP, HTTP, scrisoare, în intervalul orar 09:00 – 17:00, urmând a fi înregistrate în evidențele DigiSign;

➢ Lista certificatelor revocate (CRL) este publicată conform unui orar bine definit, prin utilizarea mai multor protocoale de rețea precum HTTP și LDAP;

➢ Informațiile privind conținutul Depozitului și al Registrului public sunt puse la dispoziția utilizatorului prin intermediul interfeței online www.digisign.ro;

➢ Orice altă comunicare între părți, referitoare la îndeplinirea unui contract încheiat între acestea, trebuie să fie transmisă în scris. Orice document scris trebuie înregistrat atât în momentul transmiterii, cât și în momentul primirii. Comunicările între părți se pot face și prin telefon, fax, poștă electronică, scrisoare, cu condiția confirmării în scris a primirii comunicării.

3.5. Tariful serviciilor

3.5.1. Tariful serviciilor de certificare

Serviciile de certificare sunt oferite la tarifele stabilite de către DigiSign în funcție de natura și complexitatea serviciului solicitat și care sunt publicate pe site-ul oficial, la adresa: https://www.digisign.ro.

Serviciile de certificare furnizate de către DigiSign pot fi achitate prin diferite modalități de plată, precum: numerar, ordin de plată sau carduri bancare, pe baza de factură, conform reglementărilor legale în vigoare.

Pagina 34 din 86

3.5.2. Tariful serviciilor conexe sau adiționale

Serviciile conexe precum serviciile de revocare, de publicare a certificatelor în CRL sau accesul la CRL-urile publicate, sunt oferite gratuit de către DigiSign.

DigiSign își rezervă dreptul de a percepe tarife suplimentare pentru orice serviciu adițional, precum: servicii de implementare, instruire, consultanță etc, dacă acestea fac obiectul acordului între părți.

Pentru orice alt serviciu adițional precum serviciile de verificare a stării certificatelor, prin intermediul protocolului OCSP sau a altor sisteme, se pot percepe taxe suplimentare. În acest caz, prețurile unor astfel de servicii se pot calcula conform unui plan tarifar de tip abonament.

3.5.3. Politica de restituire

DigiSign asigură cel mai înalt nivel de securitate pentru serviciile oferite. Cu toate acestea, dacă un utilizator nu este mulțumit de serviciul prestat de către DigiSign, poate solicita, în termen de 30 de zile de la emiterea certificatului digital, revocarea respectivului certificat și rambursarea sumelor achitate pentru acesta.

Solicitările de revocare a certificatelor digitale și rambursare a sumelor achitate, vor fi adresate către Departamentul HelpDesk, la adresa: helpdesk@digisign.ro.

3.6. Auditul

Auditul este procesul prin care persoane competente, independente față de DigiSign, colectează și evaluează probe pentru a-și forma o opinie asupra gradului de corespondență între cele observate la fața locului și anumite criterii prestabilite în planul de audit (verificări asupra concordanței dintre reglementările legale aplicabile, procedurile și practicile afirmate de DigiSign că sunt folosite și cele existente în realitate).

DigiSign este supusă la două tipuri de audit.

• extern, care necesită demonstrarea unui nivel maxim de securitate (fizică și informatică) și conformitate cu politicile, procedurile și practicile documentate;

• intern, care este realizat de către deprtamentul “Compliance&Audit Intern” al DigiSign.

Obiectivele acestor audituri sunt:

− evaluarea implementării corespunzătoare a politicilor de certificare DigiSign și

− verificări extinse asupra politicilor de management al cheilor, controalelor de

securitate, politica operațională și profilul certificatului.

3.6.1. Frecvența auditării

Atât auditul intern cât și auditul extern, din cadrul DigiSign se desfășoară anual. Auditul privind obținerea calității de furnizor acreditat de servicii de certificare calificată se desfășoară o dată la cel puțin trei ani, conform Legii nr. 455/2001 privind semnătura electronică, republicată. În

Pagina 35 din 86

ambele cazuri, auditul se desfășoara la cererea și sub supravegherea Responsabilului de Securitate.

3.6.2. Identitatea/calificările auditorului

Auditul extern este realizat de către un auditor independent față de DigiSign, cu experiența în domeniul auditului securității tehnologiei informației. Auditorul poate să fie atât persoană fizică, ce îndeplinește condițiile necesare îndeplinirii acestui proces (deținerea unui certificat CISA), cât și persoană juridica ce deține personal cu experiență și cunoștințe tehnice abilitate în domeniul auditării securității tehnologiei informației.

Auditul intern este realizat de către departamentul Compliance & Audit Intern al DigiSign. Auditorul intern este independent de procesul auditat, așa cum este specificat și la Capitolul 6.2.1. – Roluri de încredere.

3.6.3. Domeniile supuse auditării

Auditurile interne și externe se desfășoară conform unei metodologii de audit (intern și extern) care este în conformitate cu standardele și recomandările ISACA (Information Systems Audit and Control Association) privind auditul IT/IS și vizează:

• Securitatea fizică a DigiSign;

• Procedurile de verificare a identității (datele furnizate de Abonați, necesare emiterii

certificatelor) Abonatilor;

• Serviciile de certificare și procedurile de furnizare a serviciilor;

• Securitatea aplicațiilor software și a accesului în rețea;

• Jurnalele de evenimente și procedurile de monitorizare a sistemului;

• Arhivarea și restaurarea datelor;

• Procedurile/Politicile de arhivare;

• Înregistrările cu privire la modificarea parametrilor de configurare pentru DigiSign;

• Înregistrările cu privire la analizele și verificările pentru aplicațiile software și

dispozitivele hardware.

3.6.4. Măsurile întreprinse ca urmare a descoperirii unei deficiențe

Rezultatele auditurilor interne și externe sunt transmise managementului DigiSign. În termen de 10 zile de la transmiterea rezultatelor, Managementul trebuie să pregăteasca o opinie scrisă cu privire la deficiențele sesizate în timpul auditului și să propună un plan de acțiune și termene de rezolvare, pentru eliminarea deficiențelor. Opinia scrisă a Managementului împreună cu planul de actiune și termenele de rezolvare a deficiențelor vor fi transmise auditorului.

3.7. Confidențialitatea și caracterul privat al informațiilor

DigiSign a implementat o Politică de Confidențialitate, publicată pe site-ul oficial disponibil la adresa: https://www.digisign.ro/. DigiSign colectează și procesează informații, asigurând totodată protecția datelor cu caracter personal în conformitate cu Legea nr. 677/2001 privind protecția datelor cu caracter personal și cu Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Prin urmare,

Pagina 36 din 86

DigiSign nu colectează date cu caracter personal decât de la persoana care solicită un certificat digital sau, cu consimțământul expres al acesteia, de la terți.

Informațiile dezvăluite unei terțe părți sunt cele care sunt publicate în Registrul Public, conform Legii nr. 455/2001 privind semnătura electronică. DigiSign și angajații săi sunt obligați să păstreze secretul informațiilor la care au acces atât pe toată durata contractului, cât și după încetarea acestuia, în cazul angajaților.

Reprezintă informații cu caracter privat sau confidențiale:

✓ Informațiile furnizate de către utilizatori în cererile pentru certificate; ✓ Inregistrările corespunzătoare tranzacțiilor din sistem; ✓ Informațiile păstrate de DigiSign referitoare la evenimentele ce țin de serviciile de

certificare; ✓ Planurile de recuperare în caz de dezastru și planurile de gestionare a situațiilor de

criză; ✓ Rezultatele auditurilor interne și externe, în cazul în care acestea reprezintă o

amenințare pentru securitatea DigiSign; ✓ Informațiile referitoarea la măsurile luate pentru protecția dispozitivelor hardware și a

aplicațiilor software; ✓ Informațiile referitoare la modul de administrare a serviciilor de certificare și a regulilor

de înregistrare planificate;

Nu sunt considerate informații cu carcater privat sau confidențiale:

✓ Informațiile incluse în certificat de către Autoritățile de Certificare, în conformitate cu specificațiile din cadrul Capitolului 8.1. – Profilul Certificatelor;

✓ Cuprinsul Depozitului și al Registrului Public; ✓ Manualele și instrucțiunile create de DigiSign pentru utilizatori și puse la dispoziția

clienților pe diferite medii (e-mail, site web propriu, site web media etc); ✓ Oferta tehnică și comercială a produselor și serviciilor DigiSign; ✓ Lista certificatelor revocate (CRL);

Orice informație care are caracter privat sau este confidențială poate fi pusă la dispoziția unei terțe părți doar cu acordul explicit al Abonatului. Informațiile confidențiale sau cu caracter privat pot fi dezvăluite reprezentanților autorităților legale doar dacă s-au îndeplinit toate formalitățile impuse de legislația în vigoare din România.

Motivul revocării unui certificat este dezvăluit Abonatului și publicat în Registrul Public. Dacă un certificat este revocat la cererea unei terțe părți autorizate, informațiile cu privire la revocarea certificatului, precum și motivul revocării, sunt comunicate atât terței părți, cât și părții interesate.

4. Identificarea și autentificarea

Acest capitol prezintă regulile generale aplicate în procesul de verificare a identității solicitantului, reguli care asigură fidelitatea și corectitudinea informațiilor incluse în certificate. Verificarea identității unui utilizator este făcută în mod obligatoriu în etapa de înregistrare a datelor.

Pagina 37 din 86

4.1. Nume

4.1.1. Tipuri de nume

Certificatele emise de către una din autoritățile de certificare ale DigiSign utilizează Nume Distinctive – ND (eng. Distinguished Name – DN), care respectă standardele X.509 v3 (cunoscut ca standard ISO/IEC 9594-8) în câmpurile Subiect (eng. Subject) și Emitent (eng. Issuer). Structura de bază utilizată de către DigiSign în cadrul Numelor Distinctive, conform recomandărilor RFC 6818 și X.520, depinde de tipul utilizatorului.

CN = <numele și prenumele utilizatorului>

C = <abrevierea internațională pentru numele țării> L = <orașul în care utilizatorul are domiciliul>

O = <compania în cadrul căreia activează utilizatorul> OU = <departamenul în care activează utilizatorul> T = <funcția utilizatorului > P = <psudonimul ales de utilizator > Serial Number = <codul personal de identificare al utilizatorului conform legislației în

vigoare privind semnatura electronica>

4.1.2. Necesitatea ca numele să aibă un înțeles

DigiSign se asigură că ND-ul solicitantului este în conformitate cu standardele, practicile și reglementările în vigoare. Numele declarat de către un solicitant, conținut în câmpul Subiect din cadrul unui certificat, trebuie să aibă o semantică comun înțeleasă și o asociere rezonabilă cu numele real al acestuia pentru ca partea de încredere să-i poată determina identitatea. Numele furnizat de către entitatea care solicită un certificat este verificat și confirmat sau respins de către un operator al AI.

4.1.3. Anonimatul și pseudonimul unui utilizator

Autoritățile de certificare DigiSign care emit certifcate digitale permit folosirea unui pseudonim ca alternativă a numelui. În cazul în care utilizatorul alege să utilizeze un pseudonim, identitatea sa reală este protejată și nu poate fi divulgată de către DigiSign decât cu consimțământul titularului sau în cazurile prevăzute la art. 15, aln. (3) din Legea nr. 455/2001 privind semnătura electronică. Redarea faptului că utilizatorul a optat pentru utilizarea unui pseudonim se va face prin marcarea spațiului Nume Comun al certificatului cu sufixul :PN.

4.1.4. Metode de interpretare a diferitor forme de nume

Interpretarea unor diferite forme de nume se face conform profilelor certificatelor și a CRL-urilor descrise în Capitolul 8 – Profilul certificatelor, CRL și OCSP. Crearea și interpretarea ND-ului se realizează utilizând recomandările prezentate în Capitolul 4.1.1. – Tipuri de nume.

4.1.5. Unicitatea numelor

Autoritățile de certificare care operează în cadrul DigiSign asigură unicitatea numelor prin ND-urile create fiecărei entități înregistrate. Oricare Nume Distinctiv din cadrul unui certificat digital emis de către DigiSign, trebuie să identifice în mod unic o singură entitate, cea aferentă certificatului emis. Dacă numele prezentat de solicitant nu este unic, DigiSign poate atașa

Pagina 38 din 86

numere sau litere adiționale la numele real pentru a asigura unicitatea acestuia. Aceeași entitate poate deține multiple certificate digitale, toate purtând același ND în cadrul câmpului Subiect, dar două entități diferite nu pot împărți un ND comun în cadrul unui certificat emis de aceeași AC.

4.2. Înregistrarea inițială

Înregistrarea inițială are loc în momentul în care o entitate care solicită înregistrarea nu deține un certificat valid emis de nici o autoritate de certificare din cadrul DigiSign. Pentru înregistrarea unei entități există un set de proceduri care permit unei Autorități de Certificare, înainte de a emite un certificat, să adune o serie de date cu privire la entitatea respectivă, în scopul identificării acesteia.

Prin urmare, pentru ca o entitate să fie declarată utilizator autorizat al seriviciilor DigiSign și să aibă statutul de entitate înregistrată, aceasta trebuie:

➢ să completeze formularul de înregistrare disponibil online la adresa: portal.digisign.ro; ➢ să însărcineze Autoritățile de Înregistrare sau Autoritățile de Certificare din cadrul

DigiSign cu generarea unei perechi de chei sau să genereze o pereche de chei asimetrice RSA și să furnizeze Autorității de Înregistrare dovada generării și deținerii respectivei perechi de chei;

➢ să completeze și să trimită un formular de înregistrare care conține o cheie publică și dovada posesiei cheii private asociate acesteia.

4.2.1. Dovada posesiei cheii private

Dacă entitatea care solicită emiterea unui certifcat digital deține o cheie privată, Autoritățile de Înregistrare și cele de Certificare care funcționează în cadrul DigiSign, se asigură că respectiva entitate deține cheia privată corespunzătoare cheii publice pe care a furnizat-o în prealabil. Prin urmare, DigiSign își rezervă dreptul de a verifica posesia cheii private corespunzătoare, solicitând entității o dovadă de posesie. Această dovadă are rolul de a confirma că o cheie publică supusă procesului de certificare este perechea cheii private deținută în mod exclusiv de către entitatea solicitantă. Dovada posesiei cheii private nu este necesară în cazul în care, la cererea entității solicitante, perechea de chei este generată de Autoritățile de Înregistrare sau Certificare. O formă a dovezii de posesie se poate realiza prin mecanisme criptografice aplicate în procesul de înregistrare sau, daca este necesar, în procesul de modificare a datelor.

DigiSign recomandă ca generarea cheii private să se realizeze în interiorul unui dispozitiv criptografic securizat de tip e-Token sau să fie ulterior importate manual pe acesta. Orice entitate poate deține un dispozitiv criptografic securizat la momentul generării sau importului cheilor. De asemenea, acesta poate fi furnizat entității după procesul de generare a cheilor. DigiSign garantează furnizarea într-un mod sigur și direct a dispozitivului criptografic securizat și a perechii de chei generată pe acesta către entitatea solicitantă.

4.2.2. Autentificarea identității persoanei fizice

Autentificarea identității unei persoane fizice asigură că datele din cererea creată corespund entității respective.

Pagina 39 din 86

Autentificarea identității persoanei fizice se realizează pe baza unui act de identitate recunoscut de către autoritățile române. Dacă solicitantul dorește să includă în certificat datele unei organizații (persoană juridică), acestuia i se vor solicia și:

− o adeverință care să ateste aprobarea explicită a companiei respective privind includerea datelor sale în certificatul persoanei fizice;

− o copie după actul de înregistrare la Registrul Comerțului care va fi marcată „Conform cu Originalul” ;

− alte documente, dacă situația impune.

Procedura de identificare a persoanelor fizice realizată de către Autoritatea de Înregistrare constă în:

✓ Verificarea documentelor furnizate de către solicitant ; ✓ Verificarea exactității datelor din cerere cu cele din documentele furnizate; ✓ Verificarea dovezii posesiei unei chei private, dacă este cazul; ✓ Verificarea informațiilor din cerere folosind alte surse (ex. Registrul Comerțului); ✓ Verificarea dacă adresa de e-mail furnizată de către solicitant în cerere este controlată

de către acesta.

Modalitățile de identificare a solicitantului depind de nivelul de credibilitate și încredere acordat certificatului solicitat. Acestea sunt descrise în Tabelul 1.

Tabel 1

Politica de Certificare Tipul certificatului solicitat

DigiSign DEMO CA

Certificate demonstrative

➢ Se verifică validitatea adresei de e-mail prin trimiterea instrucțiunilor de instalare și utilizare a certificatelor la adresa menționată în cerere

Certificate digitale simple

➢ Se verifică validitatea adresei de e-mail prin trimiterea instrucțiunilor de instalare și utilizare a certificatelor la adresa menționată în cerere.

➢ Se verifică identitatea solicitantului prin intermediul documentelor furnizate de către solicitant.

DigiSign Qualified Public CA

➢ Personal, prin prezentarea actului de identitate al solicitantului în original la AI sau AC, împreună cu documentele originale rezultate în urma completării cererii.

➢ Duplicatele documentelor originale, autentificate de către un notar public în condițiile Legii Notarului nr. 36/1995, cu modificările ulterioare, pot fi trimise și prin poștă cu confirmare de primire către AC.

Autoritățile de Înregistrare DigiSign se angajează să verifice corectitudinea și autenticitatea tuturor datelor furnizate de către un solicitant în cererea de emitere a unui certificat, iar în cazul în care cererea este acceptată, trimite o confirmare către AC. Autoritatea de Certificare verifică dacă confirmarea a fost emisă de către o AI autorizată și urmează procesul de emitere a certificatului solicitat.

Pagina 40 din 86

4.2.3. Autentificarea identității persoanei juridice

Autentificarea identității persoanei juridice se realizează în vederea stabilirii faptului că, la momentul prelucrării unei cereri, persoana juridică declarată în cerere există. De asemenea, este în procesul de autentificare a identității persoanei juridice, este necesară și dovada că persoana fizică care solicită și primește un certificat în numele unei societăți, este autorizată de către respectiva persoană juridică să o reprezinte.

Autentificarea identității unei persoane juridice se poate face fie prin prezența fizică a reprezentantului legal sau administratorului persoanei juridice la AI, fie prin prezența fizică a reprezentantului autorizat de către AI la sediul persoanei juridice în cauză.

Pentru a identifica persoana juridică solicitantă, în funcție de nivelul de credibilitate al certificatului solicitat, reprezentanții autorizați ai respectivei persoane juridice, trebuie să prezinte unui reprezentant al AI următoarele documente:

- Copie după Certificatul de Înmatriculare al societății, marcată „Conform cu Originalul”; - Cerere de achiziție; - Declarație tip a titularului de domeniu (în cazul certificatelor WEB, când solicitantul

certificatului nu este proprietarul domeniului ce se doreşte a fi securizat); - Documente care să confirme identitatea solicitantului, recunoscute de autorităţile

române, şi autorizaţie/împuternicire prin care reprezintă societatea.

Procedura de identificare a persoanelor juridice şi a reprezentanţilor acestora, constă în:

✓ Verificarea documentelor furnizate de către Abonat; ✓ Verificarea conformității datelor menționate în cerere cu cele din documentele

furnizate; ✓ Verificarea identității reprezentantului persoanei juridice precum și autorizația acestuia

de a acționa în numele persoanei juridice respective; ✓ Verificarea faptului că proprietarul domeniului este chiar cel care a făcut solicitarea de

emitere a unui certificat SSL sau că este cel care a dat autorizația de utilizare a domeniului către solicitant;

✓ Verificarea dovezii posesiei cheii private, dacă este cazul. ✓ Verificarea dacă adresa de e-mail furnizată de către solicitant în cerere este controlată

de către acesta.

Autoritățile de Înregistrare DigiSign se angajează să verifice corectitudinea și autenticitatea tuturor datelor furnizate de către un solicitant în cererea de emitere a unui certificat digital prin modalitățile descrise în Tabelul 1, Capitolul 4.2.2. – Autentificarea identității persoanei fizice. În cazul în care cererea este acceptată, AI înaintează informațiile către AC, ceea ce inseamna confirmarea acceptării solicitării de emitere. Autoritatea de Certificare verifică dacă a fost emisă confirmarea de către o AI autorizată și urmează procesul de emitere al certificatului solicitat.

4.2.4. Autentificarea dispozitivelor (fizice sau logice)

În cazul certificatelor digitale emise pentru dispozitive (ex. router, firewall, server etc), identificarea acestora se realizează în baza datelor asociate cu dispozitivul respectiv, furnizate de către proprietarul acestuia, fie el persoană fizică sau juridică. Pentru autentificarea identității dispozitivului pentru care se solicită un certificat, sunt necesare:

• Identificatorul dispozitivului;

• Cheia publică a dispozitivului;

Pagina 41 din 86

• Caracteristicile și autorizațiile dispozitivului, dacă se solicită introducerea acestora în certificat.

• Datele de contact ale persoanei fizice sau juridice, proprietară a dispozitivului respectiv.

4.2.5. Informații neverificate

Dat fiind faptul că obiectul de activitate al societății DigiSign S.A. îl constituie furnizarea de produse și servicii de certificare în care verificarea informațiilor furnizate de către utilizatori este absolut necesară pentru desfășurarea activităților în conformitate cu reglementările legale în vigoare, DigiSign verifică toate informațiile necesare emiterii fiecărui tip de certificat.

4.2.6. Autentificarea autorizațiilor

Autoritățile de Înregistrare și Autoritățile de Certificare din cadrul DigiSign pot autentifica autorizarea unei persoane fizice de a acționa în numele altor entități, de obicei persoane juridice.

Autentificarea unei autorizații este parte a procedurii întreprinse de către Autoritățile de Înregistrare DigiSign în momentul identificării unei persoane juridice sau a unui dispozitiv ce aparține unei persoane fizice sau juridice. Autentificarea unei astfel de autorizații se face în baza unei adeverințe, semnată, datată și ștampilată.

Emiterea certificatului solicitat reprezintă confirmarea faptului că persoana fizică sau dispozitivul pentru care s-au prezentat adeverințele aferente au dreptul de a utiliza cheia privata, implicit certificatul emis, în numele persoanei juridice.

4.3. Identificarea și autentificarea cererilor pentru reînnoirea sau modificarea certificatelor

Reînnoirea unui certificat se aplică utilizatorilor care dețin un certificat digital valid și o cheie privată asociată acestuia și care doresc o continuitate a certificatului, utilizând aceeași pereche de chei. În vederea emiterii unui nou certificat prin procedura de reînnoire descrisă în Capitolul 5.6.1 – Reînnoirea certificatului, identitatea solicitantului este verificată și confirmată de către AI. Reînnoirea certificatelor este permisă doar certificatelor a căror perioadă de valabilitate nu a expirat și doar dacă solicitantul înaintează o cerere corespunzătoare către DigiSign cu cel puțin 5 zile înainte să îi expire certificatul în uz.

Identificarea Abonatului care solicită reînnoirea unui certificat se face în baza semnăturii electronice și a certificatului asociat acesteia de către un operator al AI sau direct de către Autoritatea de Certificare. Aceleași proceduri se aplică și în cazul modificării unui certificat. Noul certificat emis va conține aceeași pereche de chei, dar un număr de serie și o perioadă de valabilitate diferite față de cele ale certificatului reînnoit sau modificat.

4.4. Identificarea și autentificarea cererilor pentru reînnoirea cheilor

Identificarea și autentificarea cererilor pentru reînnoirea cheilor este echivalentă cu identificarea și autentificarea cererilor în cazul înregistrării. În cazul reînnoirii cheilor după revocarea certificatului inițial, identificarea și autentificarea cererilor în acest sens se face după

Pagina 42 din 86

ce în prealabil s-a verificat cu succes cererea de revocare conform Capitolului 4.5. – Identificarea și autentificarea cererii de revocare.

4.5. Identificarea și autentificarea cererii de revocare

Cererea de revocare a unui certificat emis de către una din Autoritățile de Certificare DigiSign, se poate trimite online prin poșta electronică către adresa: helpdesk@digisign.ro sau offline prin fax, printr-o scrisoare sau predată personal către una din Autoritățile de Înregistrare DigiSign. Autorităților de Înregistrare DigiSign le revine sarcina de a verifica aceste cereri de revocare în vederea trimiterii acestora către Autoritatea de Certificare.

Identificarea și autentificarea unei cereri de revocare se face:

a) în baza semnăturii electronice extinse aplicate pe cerere sau b) dacă cheia privată a solicitantului nu mai poate fi accesată, în baza verificării

autenticității datelor incluse în cerere, precum și a existenței semnăturii olografe aplicată de către titular pe aceasta.

În ambele cazuri, se efectuează o verificare riguroasă a indentității titularului pentru a se stabili dacă acesta este sau nu cel care a inițiat cerera de revocare.

5. Cerințe operaționale - Ciclul de viață al unui certificat

Acest capitol descrie ciclul de viață al unui certificat digital emis de către Autoritățile de Certificare DigiSign, respectiv înregistrarea cererii pentru emiterea certificatului digital, emiterea propriu-zisă, suspendarea și revocarea (dacă situația o impune), precum și modalitățile de reînnoire.

5.1. Cererea pentru certificat

Orice persoană, fizică sau juridică, are posibilitatea de a crea o cerere către Digisign în vederea emiterii unui certificat digital. Aceste cereri pot viza certificate a căror aplicabilitate depinde de nevoile entității solicitante:

✓ Certificate demonstrative – emise în general pentru medii de testare; ✓ Certificate digitale simple; ✓ Certificate digitale calificate; ✓ Certificate pentru dispozitive (ex. Server) sau certificate pentru aplicații deținute de

persoane fizice (angajați ai unei organizații sau nu), autorizate să folosească aceste dispozitive sau aplicații.

În situația în care o entitate dorește obținerea unui certificat digital emis de către una din Autoritățile de Certificare DigiSign, trebuie să înainteze o solicitare respectând procedura descrisă în prezentul CPP. Aceste solicitări sunt prelucrate de către Autoritățile de Certificare DigiSign și, după caz, aprobate sau respinse. Procesul de înregistrare a unei entități se realizează pe baza unor politici și proceduri prin care Autoritatea de Certificare obține toate datele necesare identificării entității respective înainte de a-i emite un certificat digital.

Înregistrarea entităților se efectuează o singură dată, urmând a fi incluse pe lista utilizatorilor autorizați DigiSign, după verificarea în prealabil a datelor furnizate. Înregistrarea inițială conține datele unei entități, reprezentând punctul de intrare în sistem și are rolul de a crea o cerere de

Pagina 43 din 86

emitere a unui certificat digital. În cadrul acestui proces se furnizează două categorii de informații, și anume: informații legate de solicitant și tipul certificatului dorit și documentele necesare emiterii unui certificat. Cererea pentru certificat trebuie trimisă de către entitatea solicitantă, direct către Autoritatea de Înregistrare Primară și AC, care se află la sediul social DigiSign, sau indirect prin Autoritățile de Înregistrare afiliate DigiSign. Ca urmare a autentificării identității solicitantului, AI trimite o confirmare către AC în vederea emiterii certificatului digital.

5.1.1. Cererea pentru înregistrare

O cerere de înregistrare se poate trimite printr-o scrisoare prin poștă cu confirmare de primire, prin poștă electronică, prin fax, în cazul certificatelor digitale simple, sau înmanată personal Autorităților de Înregistrare, în cazul certificatelor digitale calificate, și conține cel puțin următoarele informații:

➢ Numele complet al entității solicitante; ➢ Identificatorii, Codul Numeric Personal și/sau Codul Unic de Înregistrare al societății; ➢ Adresa solicitantului; ➢ Tipul certificatului solicitat; ➢ Identificatorul politicii de certificare pe baza căruia se va emite certificatul; ➢ Adresa de e-mail; ➢ Cheia publică ce urmează a fi certificată, dacă solicitantul își generează perechea de

chei;

În cazul solicitării unui certificat digital calificat, entitatea solicitantă are posibilitatea de a înainta către DigiSign cererea de înregistrare online prin intermediul portalului special creat în acest sens.

5.1.2. Cererea pentru reînnoirea sau modificarea certificatului

O cerere de înnoire sau modificare de certificat trebuie să conțină cel putin următoarele informații:

➢ Numele sau denumirea completa a enității solicitante; ➢ Identificatorii entității; ➢ Tipul certificatului solicitat; ➢ Identificatorul politicii de certificare pe baza căruia se va emite certificatul; ➢ Cheia publică ce urmează a fi certificată;

În cazul solicitării reînnoirii sau modificării unui certificati digital calificat, entitatea solicitantă are posibilitatea de a înainta către Digisign o cerere online prin intermediul portalului special creat în acest sens.

5.1.3. Cererea pentru revocarea sau suspendarea unui certificat

O cerere de revocare sau suspendare a unui certificat poate fi înaintată către DigiSign printr-o scrisoare, prin fax, prin poșta electronică sau predată personal către o Autoritate de Înregistrare. Cererea de revocare sau suspendare a unui certificat digital trebuie să conțină cel puțin următoarele informații:

➢ Numele și prenumele titularului certificatului digital; ➢ Datele de identificare ale titularului; ➢ Lista de certificate de revocat sau suspendat și numerele serial aferente; ➢ Motivul revocării/suspendării.

Pagina 44 din 86

Datele furnizate în cererea de revocare sau suspendare a unui certificat digital trebuie să fie complete și autentificate de către utilizator prin semnătură olografă sau printr-o semnătura electronică extinsă, dacă utilizatorul deține o cheie privată validă pentru crearea de semnătura. Revocarea sau suspendarea certificatului digital se va realiza doar după o verificare amănunțită a cererii trimise de către utilizator, conform Capitolului 5.8. – Revocarea și suspendarea unui certificat digital.

5.2. Procesarea cererilor

DigiSign oferă posibilitatea clienților săi de a trimite cererile pentru emiterea unui certificat, atât offline cât și online prin intermediul serverului web DigiSign, accesibil la adresa: www.digisign.ro. Procesarea cererilor transmise se efectuează în intervalul orar 09:00 - 17:00, de luni până vineri, iar DigiSign se angajează să prelucreze cererile primte în cel mult o zi lucrătoare de la primirea acestora. În baza datelor furnizate de către o entitate solicitantă, Autoritățile de Înregistrare afiliate DigiSign, aprobă sau resping cererile pentru emiterea unui certificat. Un criteriu de aprobare sau respingere a unei cereri îl constituie procesul de autentificare și identificare a solicitantului descris în Capitolul 4 – Identificarea și autentificarea, al prezentului CPP.

5.3. Emiterea certificatelor

După examinarea cererii de emitere a unui certificat trimisă de către o entitate, Autoritatea de Certificare va emite certificatul solicitat în interval de cel mult 5 zile lucrătoare. Această perioadă de așteptare depinde, în principiu de acuratețea datelor furnizate de către entitatea solicitantă și de modul de cooperare dintre DigiSign și solicitant. În cazul în care datele necesare emiterii unui certificat digital nu sunt puse la dispoziția Autorității de Certificare în termen sau este necesară o completare a documentației, termenul de emitere a certificatului va fi prelungit.

Documentele necesare procesului de emitere depind de tipul certificatului solicitat. În cazul certificatelor digitale calificate, documentația necesară este descrisă la adresa: www.digisign.ro. Documentația necesară emiterii altor tipuri de certificate va fi stabilită de către un operator al Autorității de Înregistrare sau al Autorității de Certificare în urma cererii depusă de către solicitant.

Emiterea certificatului digital reprezintă acceptarea definitivă a cererii de către Autoritatea de Certificare.

Perioada de valabilitate a certificatelor emise de către Autoritățile de Certificare DigiSign depinde de tipul de certificat solicitat. In cazul certificatelor digitale calificate, perioada de valabilitate maximă este de 1 an de zile din momentul emiterii acestora, conform Normelor Tehnice și Metodologice de aplicare a Legii nr. 455/2001 privind semnătura electronică.

La încheierea procesului de emitere, Autoritatea de Certificare înștiințează utilizatorul în privința emiterii certificatului solicitat, utilizând poșta electronică și îi pune acestuia la dispoziție toate informațiile necesare utilizării și instalării cu succes a certificatului digital.

Pagina 45 din 86

5.4. Acceptarea certificatelor

La primirea certificatului, utilizatorul se angajează să verifice conținutul acestuia, în special corectitudinea datelor și complementaritatea cheii publice cu cea privată pe care o deține.

Certificatul este considerat acceptat în ipoteza apariției unuia dintre următoarele evenimente în termen de maxim 5 zile calendaristice de la data primirii certificatului de către solicitant:

✓ Acceptarea certificatului emis, la momentul recepționării acestuia; ✓ Semnarea Procesului Verbal de Recepție la primirea unui pachet înregistrat trimis de

către DigiSign, conținând certificatul; ✓ Expirarea unei perioade de 7 zile caledaristice de la data primirii certificatului, perioada

în care certificatul nu a fost respins în mod explicit.

Acceptarea certificatului este o decizie unilaterală a utilizatorului, anterior utilizării lui în efectuarea oricărei operații criptografice, prin care se consideră că a acceptat Codul de Practici și Proceduri și Politica de Certificare ale DigiSign, precum și că a subscris să respecte prevederile contractului încheiat cu DigiSign. Odată acceptate de către utilizatori, certificatele emise sunt publicate în Registrul public al certificatelor digitale calificate emise în ierarhie publică, devenind astfel accesibile publicului.

5.5. Folosirea corespunzătoare a cheilor și a certificatelor digitale

DigiSign pune la dispoziția utilizatorilor săi manuale și instrucțiuni de instalare și utilizare a certificatelor digitale emise. Acestea pot fi consultate la adresa: https://www.digisign.ro/instructiuni/. Utilizatorii certificatelor digitale emise de către una din Autoritățile de Certificare DigiSign trebuie să folosească cheile private și certificatele în concordanță cu scopul lor declarat în prezentul CPP și în concordanță cu conținutul câmpurilor keyUsage și extendedKeyUsage din cadrul certificatului. De asemenea, utilizatorii trebuie să folosească certificatele și cheile private numai în perioada de valabilitate și în concordanță cu prevederile contractului încheiat între aceștia și DigiSign.

Entitățile partenere trebuie să folosească certificatele și cheile publice respectând aceleași condiții ca și utilizatorii, în plus, ținând cont și de verificarea stării certificatelor și a semnăturii Autorității de Certificare care a emis acel certificat. În cazul unui certificat expirat, suspendat sau revocat, utilizatorului nu i se permite să utilizeze cheia privată în vederea creării unei semnături.

5.6. Reînnoirea sau modificarea certificatului

Acest capitol prezintă situațiile și cerințele ce trebuiesc îndeplinite pentru reînnoirea sau modificarea unui certificat digital. Procedurile în acest sens sunt prezentate detaliat și pe site-ul web DigiSign, disponibil la adresa: https://www.digisign.ro/.

5.6.1. Reînnoirea certificatului

Reînnoirea certificatului are loc în momentul în care Abonatul dorește să i se emită un nou certificat, fără modificarea vreunui câmp din cadrul certificatului, cu excepția perioadei de valabilitate și a numărului de serie, păstrându-se aceeași pereche de chei. Acest tip de reînnoire poate fi aplicat doar dacă certificatul digital deținut de către Abonat este încă activ și

Pagina 46 din 86

dacă o cerere corespunzătoare este înaintată către DigiSign cu cel puțin 5 zile înainte ca certificatul să expire.

DigiSign anunță negreșit utilizatorii (începând cu 45 de zile înainte) despre apropierea momentului de expirare a perioadei de valabilitate a certificatului digital, prin intermediul poștei electronice, la adresa specificată de către aceștia în cererea de înregistrare. Această notificare este de asemenea trimisă și în cazul certificatelor Autorităților de Certificare. Procedura de reînnoire a unui certificat necesită autentificarea cererii de către Abonat prin semnarea electronică a respectivei cereri. Prin urmare, Abonatul trebuie să dețină o cheie privată valabilă pentru crearea semnăturii electronice. În cazul în care acesta nu are o astfel de cheie, trebuie să se supună procedurii de reînnoire a cheilor descrisă în Capitolul 5.7. – Reînnoirea cheilor.

Autentificarea și identificarea solicitantului de către AI se realizează conform Capitolului 4.3. – Identificarea și autentificarea cererilor pentru reînnoirea sau modificarea certificatelor. Autoritatea de Certificare emite noul certificat în baza cererii primite, urmând ca Abonatul să fie notificat despre acesta. După acceptarea de către Abonat a noului certificat, conform Capitolului 5.4. – Acceptarea certificatelor, acesta va fi publicat în Registru public al certificatelor emise în ierarhie publică.

5.6.2. Modificarea certificatului

Modificarea unui certificat digital presupune înlocuirea certificatului în uz, înca valid, cu un nou certificat în structura căruia cel puțin un câmp este schimbat. Procedura de modificare a certificatului se aplică doar certificatelor a căror perioadă de valabilitate încă nu a expirat sau care nu au fost revocate și se realizează numai la cererea Abonatului, fiind precedată de înaintarea unei cereri corespunzătoare către DigiSign.

5.7. Reinnoirea cheilor/Certificarea cheilor/Recertificarea cheilor

Reînnoirea cheilor se referă la emiterea unui nou certificat digital utilizând o nouă pereche de chei generată de către utilizator sau de către Autoritatea de Certificare la solicitarea utilizatorului.

Procedura de reînnoire a cheilor are loc în cazul revocării certificatului datorită compromiterii cheii private a titularului sau a pierderii acesteia prin ștergerea conținului dispozitivului criptografic, expirării perioadei de valabilitate a certificatului sau a cheilor sau schimbarea titularului certificatului digital.

Reînnoirea cheilor se realizează numai la cererea utilizatorului și este precedată de înaintarea unei cereri printr-un formular corespunzător, către AI. Identificarea și autentificarea solicitantului de către AI, precum și procesarea cererii de emitere a noului certificat de către AC sunt echivalente celor descrise în Capitolul 4.3. – Identificarea și autentificarea cererilor pentru reînnoirea sau modificarea certificatelor, Capitolul 5.2. – Procesarea cererilor și Capitolul 5.3. – Emiterea certificatelor. În urma acestor proceduri, utilizatorul este notificat despre emiterea noului certificat care urmează a fi publicat în Registrul public, din momentul acceptării acestuia. Acceptarea noului certificat de către utilizator se face conform Capitolului 5.4. – Acceptarea certificatelor.

Pagina 47 din 86

Reînnoirea cheilor se aplică și certificatelor unei Autorități de Certificare; într-un asemenea caz, toți clienții respectivei Autorități de Certificare fiind informați despre executarea procedurii.

5.8. Revocarea și suspendarea unui certificat digital

DigiSign SA oferă servicii de revocare și suspendare a certificatelor digitale emise de către Autoritățile de Certificare ce aparțin de domeniul său. Prezentul capitol descrie circumstanțele în care un certificat digital DigiSign poate fi suspendat, respectiv revocat, precum și procedurile aplicate în fiecare caz. Revocarea unui certificat digital reprezintă anularea validității acestuia și retragerea oricărui drept de a-l utiliza. Suspendarea unui certificat digital reprezintă o dezactivare reversibilă a validității acestuia.

5.8.1. Revocarea unui certificat digital

DigiSign furnizează servicii de revocare atât pentru certificatele digitale ale Abonaților cât și pentru certificatele digitale emise pentru Autoritățile de Certificate ce aparțin de domeniul său. Unul din motivele principale pentru care se revocă un certificat este compromiterea cheii private (sau suspiciuni de compromitere) ce aparține Abonatului, compromitere ce are o influență semnificativă asupra utilizării certificatului digital corespunzător.

Prin compromiterea cheii private se înțelege: (1) accesul neautorizat la cheia privată sau un motiv întemeiat în baza căruia să se suspecteze un astfel de acces neautorizat, (2) pierderea cheii private sau apariția unui motiv de a suspecta o astfel de pierdere, (3) furtul cheii private sau apariția unui motiv de a suspecta furtul acesteia, (4) ștergerea intenționată sau nu, a cheii private.

5.8.1.1. Circumstanțele pentru care se poate revoca un certificat

Certificatul digital al unui Abonat se revocă în cazul în care:

✓ Informații esențiale din cadrul certificatului s-au schimbat;

✓ Abonatul emite o cerere de revocare și o înaintează către DigiSign;

✓ Cheia privată, asociată cheii publice din cadrul certificatului, existentă pe dispozitivul

securizat criptografic, a fost compromisă sau există un motiv puternic pentru a suspecta

compromiterea acesteia;

✓ Părțile decid să înceteze contractul încheiat între acestea;

✓ Abonatul nu respectă Politica de Certificare, Codul de Practici și Proceduri, contractul

sau alte documente emise de către Autoritatea de Certificare;

✓ Autoritatea de Certificare își încetează activitatea, caz în care aceasta trebuie să

revoce toate certificatele digitale emise, împreună cu certificatul propriu;

✓ Cheia privată sau securitatea unei Autorități de Certificare a fost compromisă într-un

mod care pune în pericol credibilitatea certificatelor emise;

✓ Expiră termenul în care un certificat digital poate fi suspendat, dacă nu a fost luată

decizia de reactivare a certificatului digital;

✓ În alte cazuri în care Abonatul nu se conformează regulilor descrise în Politica de

Certificare, Codul de Practici și Proceduri sau contractului încheiat cu Autoritatea de

Certificare.

DigiSign poate revoca certificatul digital al Administratorului de Securitate în cazul în care autoritatea administratorului de a acționa ca atare s-a încheiat. De asemenea, DigiSign revocă certificatele Autorităților de Certificare și a Autorităților de Înregistrare în cazul în care:

Pagina 48 din 86

✓ are motive puternice să considere că a fost compromisă cheia privată a respectivei

Autorități;

✓ are motive puternice să considere că certificatul respectivei Autorități nu a fost emis în

conformitate cu procedurile stabilite de prezetul CPP;

✓ DigiSign SA solicită revocarea certificatului respectivei Autorități.

5.8.1.2. Cine poate solicita revocarea unui certificat

Entitățile care pot solicita revocarea unui certificat digital DigiSign sunt:

a) Abonatul, în calitate de titular al certificatului;

b) Un mandatar al Abonatului, în calitate de beneficiar al certificatului (caz în care

Abonatul este informat imediat de acest aspect);*

c) Abonatul, angajat al unei organizații, nu a returnat dispozitivul criptografic pentru

stocarea certificatului la încheierea contractului de muncă, și organizația a plătit

achiziția serviciilor;

d) Abonatul intarzie sau nu plătește contravaloarea serviciilor prestate de DigiSign;

e) Un reprezentant autorizat al Autorității de Certificare DigiSign, în cazul în care solicită

revocarea unui certificat digital al unui Administrator de Securitate;

f) Autoritatea de Înregistrare poate solicita revocarea fie în numele unui Abonat, fie în

nume propriu, dacă are informații suficiente pentru a justifica solicitarea.

g) DigiSign SA, în cazul în care solicită revocarea unui certificat digital emis pentru una

din Autoritățile ce aparțin de domeniul său;

h) În orice alte cazuri în care Abonatul încalcă regulile acestui Cod de Practici și

Proceduri, ale Politicii de Certificare sau ale contractului între părți;

*În cazul în care solicitarea de revocare a unui certificat nu este formulată de către Abonatul în calitate de titular al certificatului, Autoritatea de Certificate trebuie: (1) să verifice dacă solicitantul are dreptul să formuleze o astfel de cerere, (2) să ceară o justificare a solicitării de revocare, (3) să verifice, prin titularul certificatului, corectitudinea informațiilor cuprinse în cererea de revocare și (4) să trimită o notificare Abonatului privind revocarea certificatului său.

5.8.1.3. Cererea de revocare a unui certificat

Revocarea unui certificat digital calificat are o influență semnificativă asupra utilizării acestuia și asupra obligațiilor Abonaților. Prin urmare, compromiterea cheii private deținută de Abonat sau existența unei suspiciuni în acest sens, precum și încălcarea obligațiilor Abonatului, impun revocarea de îndată a certificatului.

Cererea de revocare a unui certificat trebuie să conțină informații complete care să permită autentificarea sigură a titularului și a certificatului digital pentru care s-a creat respectiva cerere. În cazul în care autentificarea nu este realizată cu succes, Autoritatea de Certificare va respinge cerera de revocare, suspendând certificatul până când cererea este procesată în detaliu.

Fiecare cerere de revocare trebuie: (1) să ofere mijloace de identificare a solicitantului și a certificatului de revocat, (2) să conțină motivele pentru care se solicită revocarea respectivului certificat, și (3) să fie autentificată fie prin semnătură electronică, fie prin semnătură olografă. Cererea de revocare trebuie trimisă cât mai curând posibil din momentul apariției uneia dintre circumstanțele care impune revocarea certificatului. Cererea poate fi înaintată fie personal către Autoritatea de Înregistrare sau către Autoritatea de Certificare, fie prin fax, poșta

Pagina 49 din 86

electronică sau poștă prin scrisoare cu confirmare de primire. Indiferent dacă cererea de revocare a fost acceptată sau respinsă, Autoritatea de Certificare notifică Abonatul despre decizia luată.

Instrucțiuni privind formularea cererii de revocare sunt disponibile public pe site-ul www.digisign.ro.

5.8.1.4. Procedura de revocare a unui certificat

Cererile de revocare ale certificatelor digitale sunt procesate în decurs de maxim 24 de ore de la recepționarea acestora, indiferent de modalitatea de transmitere a cererilor. Revocarea unui certificat digital DigiSign se realizează astfel:

a) Cererea de revocare este transmisă electronic de Abonat direct către Autoritatea de

Certificare

În acest caz, cererea de revocare trebuie să fie semnată electronic cu un certificat digital calificat și poate fi transmisă doar de către Abonat. În urma recepționării cererii, Autoritatea de Certificare identifică solicitantul și validează informațiile conținute în cerere. Dacă procesul se realizează cu succes, certificatul este revocat.

b) Cererea de revocare este transmisă către Autoritatea de Înregistrare

În acest caz cererea de revocare poate fi transmisă fie în format fizic, fie în format electronic. Autoritatea de Înregistrare primește cererea de revocare și o procesează prin identificarea solicitantului și autentificarea datelor înscrise în respectiva cerere, urmând să o transmită către Autoritatea de Certificare cu statusul „aprobat pentru revocare”.

Dacă cheia privată stocată pe un dispozitiv criptografic securizat corespunde unui certificat revocat, ca urmare a revocării respectivului certificat, dispozitivul criptografic trebuie să fie distrus fizic sau inițializat în condiții de maximă securitate. Din momentul revocării unui certificat, acesta este înscris în Lista Certificatelor Revocate (CRL), în conformitate cu perioadele de publicare ale acestuia. Informațiile privind revocarea certificatelor sunt stocate în baza de date DigiSign, fiind disponibile public prin intermediul (1) verificării stării certificatelor prin protocolul OCSP, (2) Registrului Public, și (3) Listei Certificatelor Revocate (CRL).

5.8.2. Suspendarea unui certificat digital

Suspendarea unui certificat digital se realizeaza în termen de 24 de ore din momentul în care s-a luat la cunoștință despre apariția oricărui dintre următoarele cazuri:

a. La cererea titularului certificatului digital, după o prealabilă verificare a identității acestuia;

b. În cazul în care o hotărâre judecătorească dispune acest lucru; c. În cazul în care informațiile cuprinse în certificatul digital nu mai corespund realității; d. În situațiile în care există suspiciuni întemeiate cu privire la faptul că respectivul

certificat digital a fost emis prin încălcarea dispozițiilor prezentului CPP; e. În cazul în care titularul certificatului sau beneficiarul acestuia nu achită sau întârzie

să achite contravaloarea serviciilor de încredere prestate.

Pagina 50 din 86

Suspendarea unui certificat digital poate fi inițată de către:

➢ Titularul certificatului digital; ➢ Un mandatar al titularului; ➢ Un reprezentant autorizat al Autorităților de Certificare DigiSign, dacă cererea de

revocare nu a fost verificată cu succes sau există alte motive care impun suspendarea; ➢ Autoritățile de Înregistrare DigiSign, care pot înainta cereri de suspendare fie în numele

titularilor, fie în nume propriu, daca dețin suficiente informații ce ar justifica suspendarea.

Procesul de suspendare al certificatelor digitale este același ca și în cazul revocării acestora; după suspendarea unui certificat digital, Autoritatea de Certificare DigiSign introduce acest certificat în CRL cu statusul certificateHold și înscrie certificatul digital în Registrul electronic al certificatelor digitale cu statusul Suspendat. Autoritatea de Certificare DigiSign poate anula suspendarea unui certificat digital dacă motivele ce au dus la această acțiune nu mai sunt de actualitate sau nu au fost confirmate. De asemenea, anularea suspendării certificatului digital se realizează și la solicitarea titularului acestuia. În acest caz, titularul își asumă prin respectiva cerere de anulare a suspendării certificatului digital, faptul că cheia sa privată nu a fost în nici un fel compromisă.

Autoritatea de Certificare DigiSign va informa de urgenţă pe titular despre suspendarea sau revocarea certificatului, împreună cu motivele care au stat la baza deciziei sale.

Atât cererea de suspendare a unui certificat digital, cât și cererea de anulare a suspendării, sunt procesate de către operatorii autorizați DigiSign cu atenție, în ceea ce privește identitatea solicitantului, autorizația acestuia, precum și datele privind certificatul digital. În cazul în care aceste cereri sunt verificate cu succes de către operatorii autorizați DigiSign, certificatul digital va fi fie suspendat, fie scos din CRL și valid. Dacă însă motivele suspendării se dovedesc întemeiate sau certificatul digital a rămas suspendat pe o perioadă mai mare de 1 lună, acesta va fi revocat.

5.9. Verificarea online a stării certificatelor – protocolul OCSP

DigiSign furnizează servicii de verificare a statusului certificatelor digitale în timp real pe baza protocolului OCSP (eng. Online Certificate Status Protocol), descris în RFC 2560 – Internet X.509 Public Key Infrastructure:Online Certificate Status Protocol. Utilizarea acestui protocol permite utilizatorului care îl interoghează să obțină informații actualizate la secundă și corecte despre statusul certificatelor, în comparație cu cele furnizate de către CRL.

OCSP funcționează pe baza modelului întrebare-răspuns. Astfel, ca răspuns la fiecare interogare a serverului OCSP, acesta poate întoarce următoarele informații:

✓ Good– certificatul este valid; ✓ Revoked – certificatul nu este valid, fiind revocat; ✓ Unkown – serverul nu cunoaște certificatul despre care este interogat

Deși nici o entitate parteneră nu este obligată să verifice statusul certificatelor prin intermediul serverului OCSP, acestora le este recomandată utilizarea acestui serviciu pentru a minimaliza riscul falsificării documentelor cărora li s-a aplicat o semnătură electronică, mai ales în cazul documentelor având un grad înalt de importanță.

Pagina 51 din 86

6. Controale de securitate fizică, operațională și de personal

DigiSign SA are obligativitatea de a stabili și menține starea controalelor de securitate solicitate pentru o Autoritate de Ceritificare sau Înregistrare. Acest capitol oferă o descriere a cadrului de controale de securitate, care reflectă prevederile cuprinse în Legea nr. 455/2001 privind semnătura electronică, precum și cele cuprinse în ETSI TS 101456 – Cerințele politicii pentru Autoritățile de Certificare care emit certificate digitale calificate. Respectivele prevederi se completează unele pe celelalte și au menirea de a spori controalele de securitate în ansamblu. Toate acestea necesită cele mai înalte standarde de controale de securitate.

Cu toate acestea, tocmai din motive de securitate, DigiSign SA nu va dezvălui nici un detaliu legat de măsurile specifice luate în cadrul controalelor de securitate. Documentele care descriu implementarea controalelor de securitate din cadrul DigiSign sunt considerate confidențiale.

6.1. Controale de securitate fizică

Controalele de securitate fizică implementate de către DigiSign au rolul de a proteja atât partea de aplicații software (nivelul logic), cât și partea hardware (nivelul fizic) ale Autorităților de Certificare DigiSign, împotriva unei utilizări neautorizate. Sistemele de calcul, terminalele operatorilor și resursele informaționale din cadrul DigiSign sunt dispuse într-o zonă dedicată, protejată fizic împotriva accesului neautorizat, distrugerilor sau perturbării activității. Aceste locații sunt monitorizate, fiecare intrare și ieșire fiind înregistrată într-un jurnal de evenimente. De asemenea, stabilitatea sursei de electricitate, precum și temperatura sunt monitorizate și controlate în permanență.

6.1.1. Amplasarea locației

DigiSign este localizată la umătoarea adresă: str. Virgil Madgearu, nr. 2-6, Sector 1, București, Cod Poștal 014135, România.

6.1.2. Acces fizic

Echipamentele Autorităților de Certificare DigiSign sunt protejate permanent împotriva accesului neautorizat. Pentru Autoritățile de Înregistrare DigiSign sunt implementate controale de acces fizic pentru a reduce orice risc. Aceste mecanisme de securitate sunt corespunzătoare nivelului de amenințare a spațiului în care sunt amplasate echipamentele Autorității de Înregistrare. Astfel, sistemele DigiSign sunt protejate de cinci niveluri de securitate fizica dupa cum urmeaza:

• Nivelul 1 de acces necesită prezentarea actului de identitate agentului de pază de la

intrarea în clădire. Accesul la acest nivel este monitorizat și înregistrat pe de o parte,

automat (prin sitemul video instalat) și manual (prin înregistrarea datelor personale de

către agentul de paza în registrul de intrare-ieșire);

• Nivelul 2 de acces necesită utilizarea unui card de proximitate cu zona de acces limitată

la etajul corespondent, acces monitorizat și înregistrat automat;

• Nivelul 3 de acces impune controlul accesului individual pentru toate persoanele care

pătrund în aria AI și AC, facilitate care necesită utilizarea sistemului biometric cu

amprentă digitală. Accesul la nivelul 3 este monitorizat automat.

• Nivelul 4 de acces permite accesul însoțit în incinta cuștii situate în datacenter. Este

interzis accesul fizic la acest nivel tuturor vizitatorilor și angajaților cu nivel inferior de

acces. Accesul la acest nivel este monitorizat automat.

Pagina 52 din 86

• Nivelul 5 de acces (al centrului de date) impune controlul accesului individual, iar

camera pentru ceremonia cheii impune controlul dual, fiecare prin utilizarea unui factor

dublu de autentificare, sistem biometric cu amprentă digitală și card de proximitate.

Accesul la acest nivel este monitorizat automat.

6.1.3. Energie și aer condiționat

Locațiile securizate ale DigiSign sunt prevăzute cu aer condiționat care oferă un mediu de oprerare corespunzător. Din momentul întreruperii alimentării cu energie electrică, sursele de electricitate de urgenta (UPS) asigură continuarea neperturbată a activității până la intervenția automată a generatorului clădirii.

6.1.4. Expunerea la apă

Riscul de inundație în zona serverelor este mic datorită faptului că distanța față de sol este de cca 1m.

6.1.5. Prevenirea și protecția împotriva incendiului

Sediul DigiSign dispune de un sistem de prevenire și protecție împotriva incendiilor în conformitate cu standardele și reglementările în domeniu.

6.1.6. Mediul de stocare

În funcție de sensibilitatea informațiilor, mediile electronice care conțin arhivele și copiile de siguranță ale datelor curente sunt stocate într-un spațiu cu grad ridicat de securitate. Accesul în acest spațiu este permis numai persoanelor autorizate.

6.1.7. Dispunerea documentelor și echipamentelor nefolositoare

Hârtiile și mediile electronice care conțin informații importante din punct de vedere al securității DigiSign sunt distruse după expirarea perioadei de păstrare a acestora. Modulele de securitate hardware sunt resetate și șterse conform recomandărilor producătorului. De asemenea, acestea sunt resetate și șterse și în cazul în care sunt trimise în service pentru reparații.

6.1.8. Salvarea datelor în locația de back-up

În locația de back-up se stochează: arhivele certificatelor digitale emise și copiile curente ale informațiilor procesate de sistem și a kit-urilor de instalare ale aplicațiilor DigiSign. Acest lucru permite refacerea de urgență a oricărei funcții DigiSign, în maxim 48 de ore, fie în locația principală, fie la sediul de rezervă.

6.2. Controale de securitate operațională

Pagina 53 din 86

Prezentul capitol descrie rolurile ce pot fi atribuite personalului DigiSign, precum și responsabilitățile și sarcinile specifice fiecărui rol.

6.2.1. Roluri de încredere

6.2.1.1. Roluri de încredere în cadrul DigiSign

În cadrul companiei DigiSign SA sunt definite următoarele roluri de încredere, care pot fi atribuite uneia sau mai multor pesoane:

a. Responsabilul de securitate are responsabilitate globală în ceea ce privește implementarea politicilor și procedurilor de securitate, și anume:

➢ inițiază instalarea, configurarea și managementul aplicațiilor software și hardware din cadrul DigiSign;

➢ inițiază și supraveghează generarea de chei și a secretelor partajate; ➢ atribuie drepturi și privilegii de acces pentru utilizatori, din punct de vedere al

securității, precum parole pentru conturile acestora; ➢ verifica și supraveghează jurnalele de evenimente; ➢ supervizează auditurile interne și externe, primește și răspunde la rapoartele

de audit, supervizează eliminarea deficiențelor constatate în timpul auditului; ➢ supraveghează operatorii autorizați ai Autorităților de Certificare DigiSign; ➢ verifică logurile de sistem și respectarea prevederilor Politicii de Certificare și

ale Codului de Practici și Proceduri DigiSign; ➢ administrează Lista Certificatelor Revocate (CRL); ➢ creează copiile de siguranță în caz de dezastru; ➢ modifică numele și adresele serverelor; ➢ administrează directoarele DigiSign care sunt disponibile public, creează și

actualizează conținutul respectivelor directoare; ➢ creează paginile web și administrează legăturile dintre acestea; ➢ aprobă/respinge acțiunile de revocare sau suspendare ale certificatelor

digitale.

b. Administratorul de securitate: ➢ instalează, configurează și întreține sistemele de încredere ale Autorităților de

Certificare privind înregistrarea, generarea de certificate digitale, inițializarea dispozitivelor securizate criptografice și gestiunea revocărilor de certificate digitale;

➢ creează copiile de siguranță; ➢ configurează sistemele și rețeaua, activează și configurează mecanisme de

protecție ale rețelei.

c. Administratorul de secrete: ➢ supervizează și transferă secretele către operatorii autorizați ai Autorităților de

Înregistrare DigiSign; ➢ execută operațiile de back-up și restaurare a sistemului; ➢ asigură continuitatea copiilor de siguranță, a arhivelor și a logurilor de sistem; ➢ administreză bazele de date; ➢ are acces la informațiile confidențiale despre Abonați, dar nu poate accesa fizic

nici o altă resursă a sistemului.

d. Auditorul de sistem:

Pagina 54 din 86

➢ accesează arhivele și log-urile de audit ale sistemelor de încredere din cadrul Autorităților de Certificare DigiSign;

➢ este responsabil de efectuarea auditurilor interne pentru respectarea prevederilor din Politica de Certificare și Codul de Practici și Proceduri DigiSign;

➢ nu poate deține și un alt rol, precum nici o altă entitate cu un rol diferit față de cel de auditor, nu poate prelua responsabilitățile auditorului.

e. Operatorii autorizați ai Autorităților de Înregistrare ➢ verifică identitatea solicitanților de certificate digitale și corectitudinea cererilor

de emitere; ➢ emit confirmări ale cererilor trimise către Autoritățile de Certificare DigiSign; ➢ generează cheile și iau parte la generarea certificatelor digitale, transmițând

informațiile din cererile de emitere către Autoritățile de Certificare DigiSign; ➢ arhivează (în format fizic) cererile și confirmările emise.

6.2.2. Numărul de persoane necesare pentru îndeplinirea unei sarcini

DigiSign menține o politică și proceduri de control riguroase care asigură separarea responsabilităților. Cele mai sensibile sarcini, precum accesul și managementul hardware-ului criptografic al AC DigiSign (elemente de semnare criptografică sau CSU) și materialul asociat, necesită mai multe persoane de încredere. Astfel sarcinile responsabilului de securitate, administratorului de sistem, responsabilului IT, etc, sunt împărțite între cel puțin două persoane calificate pentru a efectua sarcinile corespunzătoare. Această împărțire nu compromite siguranța accesului la sistemele DigiSign, care este garantat prin segregarea rolurilor.

Procesul de generare chei – pentru semnarea certificatelor și a CRL-urilor – reprezintă una dintre operațiile care trebuie să respecte standardele în vigoare. Generarea cheilor necesită prezența a cel puțin trei persoane de încredere. Procesul de generare a cheii AC poate fi de asemenea observat de către posesori de secrete partajate care păstrează perechea lor de chei în locații sigure. La încărcarea cheii AC în modulul hardware de securitate, este necesară prezența Responsabilului de Securitate, a Administratorului AC și a unui număr corespunzător de posesori de secrete partajate. Încărcarea cheii AI în modulul hardware de securitate (atunci când este cazul) se face în prezența Administratorului de Secrete și a unui operator al AI.

Oricare altă operațiune sau rol, descris în prezentul CPP sau care are legătură cu un utilizator, poate fi efectuată de către o singură persoană, special desemnată în acest sens.

6.2.3. Identificarea și autentificarea pentru fiecare rol

Personalul DigiSign este supus identificării și autentificării în următoarele situații:

− Plasarea pe lista de persoane care au dreptul de a accesa locațiile DigiSign;

− Plasarea pe lista de persoane care au acces fizic la sisteme și resurse de rețea aparținând DigiSign;

− Emiterea deciziei care autorizează îndeplinirea rolului atribuit;

− Atribuirea unui cont și a unei parole în sistemul informatic al DigiSign.

Fiecare cont atribuit în cadrul DigiSign trebuie: (1) să fie unic și asignat direct unei anumite persoane, (2) să fie restricționat conform funcției (funcția reiese din rolul îndeplinit de persoana respectivă) pe baza software-ului de sistem al DigiSign, a sistemului de operare și a

Pagina 55 din 86

controalelor de aplicații și (3) nu poate fi folosit în comun cu nici o altă persoană. Operațiile efectuate în cadul DigiSign, care necesită acces la resursele de rețea comune, sunt protejate prin mecanisme de autentificare sigure și de criptare a informațiilor transmise.

6.3. Controlul personalului

DigiSign trebuie să se asigure că persoana care îndeplinește responsabilitățile funcției, conform rolului atribuit în cadrul AC sau AI:

• A absolvit cel puțin liceul;

• Este cetățean român;

• A semnat un contract în care sunt descrise rolul și responsabilitățile sale în cadrul sistemului;

• A efectuat un stagiu de pregătire avansată privind sarcinile și obligațiile asociate funcției sale;

• A fost instruit cu privire la protecția datelor personale și informațiilor confidențiale sau private;

• A semnat un contract care conține clauze referitoare la protejarea informațiilor sensibile din punct de vedere al securității DigiSign și a datelor confidențiale și private ale utilizatorilor;

• Nu indeplinește sarcini care ar putea genera conflicte de interese intre AC și AI, care acționează în numele acesteia.

6.3.1. Experiența personală, calificările și clauzele de confidențialitate necesare

Personalul angajat al DigiSign care indeplinește roluri de încredere trebuie să obțină avizul Responsabilului de Securitate. Îndeplinirea unei funcții ca Responsabil de Securitate, Administrator sistem pentru AC permite accesul la informații clasificate. Dezvăluirea neautorizată a acestor informații poate cauza pierderea sau compromiterea intereselor, apărate de lege, ale unei persoane fizice sau organizații. Procedurile de acces la informațiile clasificate și de verificare a încrederii în personal sunt în conformitate cu Legea Protecției Datelor cu Caracter Personal.

6.3.2. Cerințele de pregătire a personalului

Înainte de începerea activității, personalul care îndeplinește roluri și sarcini în cadrul AC și AI, trebuie instruit cu privire la: (1) reglementarile CP și CPP, (2) procedurile și controalele de securitate folosite de AC si AI, (3) aplicațiile software ale AC si AI, (4) responsabilitățile care decurg din rolurile și sarcinile executate în sistem și (5) procedurile care trebuie executate în cazul apariției unei defecțiuni în funcționarea sistemului AC. Instruirea se termină cu semnarea de către angajat a Procesului Verbal de instruire prin care acesta confirmă ca a luat la cunoștință și acceptă restricțiile și obligațiile impuse.

6.3.3. Frecvența stagiilor de pregătire

Pregătirea descrisă în cadrul Capitolului 6.3.2 Cerințe de pregătire a personalului trebuie

repetată ori de câte ori apar modificări semnificative în cadrul DigiSign sau în cadrul unei Autorități de Înregistrare afiliate DigiSign.

Pagina 56 din 86

6.3.4. Rotația funcțiilor

Acest Cod de Practici și Proceduri nu specifică nici un fel de cerințe în această privință.

6.3.5. Sancționarea acțiunilor neautorizate

În cazul descoperirii sau existenței suspiciunii unui acces neautorizat, Administratorul de Sistem al AC și Responsabilul de Securitate (pentru angajații DigiSign) pot suspenda accesul persoanei respective la sistemul DigiSign. Măsurile disciplinare pentru astfel de incidente sunt în conformitate cu prevederile legale în vigoare.

6.3.6. Personalul angajat pe bază de contract

Reprezentanții prestatorilor de servicii pe bază de contract (servicii externe, dezvoltatori de subsisteme sau aplicatii software etc) vor face obiectul unor verificari similare ca și în cazul angajaților DigiSign. În plus, reprezentanții prestatorilor de servicii pe bază de contract, pe timpul în care își desfășoară activitatea în locația DigiSign, sunt însoțiti permanent de către un angajat DigiSign, cu excepția celor care au primit avizare de la Responsabilul de Securitate și care pot accesa informații clasificate intern sau în conformitate cu normele legale în vigoare.

6.3.7. Documentația oferită personalului

DigiSign oferă personalului său acces la următoarele documente:

• CPP și CP;

• Responsabilitățile și obligatiile asociate rolului deținut în sistem;

• Procedurile și instrucțiunile de lucru.

7. Controale tehnice de securitate a informației

Acest capitol prezintă procedurile de generare și management al perechii de chei criptografice ale AC și utilizatorului final, inclusiv cerințele tehnice asociate. Acest control este asigurat și prin implementarea și certificarea Sistemului de management al securității informației conform ISO 27001 în cadrul DigiSign.

7.1. Generarea și utilizarea perechii de chei

Procedurile de management al perechilor de chei se referă la păstrarea și utilizarea în siguranță de către proprietar a perechii sale de chei. O atenție deosebită este atribuită generării și păstrării perechii de chei ce aparține Autorității de Certificare DigiSign, procedura de management fiind foarte importantă în acest caz datorită modului în care această pereche de chei influențează funcționarea în siguranță a întregului sistem de certificare a cheilor publice.

Autoritatea de Certificare Primară DigiSign Qualified ROOT CA v2 deține cel puțin un certificat autosemnat. Cheia privată corespunzătoare cheii publice conținută de certificatul autosemnat este utilizată exclusiv în scopul semnării cheilor publice ale Autorităților de Certificare

Pagina 57 din 86

subordonate din cadrul DigiSign, și anume: DigiSign Qualified Public CA,DigiSign DEMO CA

și Digisign Enterprise CA, prin semnarea certificatelor operaționale și a Listei de Certificate Revocate (CRL), necesare pentru funcționarea autorităților respective.

7.1.1. Generarea perechilor de chei

Cheile DigiSign Qualified Public CA, DigiSign DEMO CA și Digisign Enterprise CA, precum şi ale altor autorităţi subordonate, sunt generate la sediul DigiSign, în prezenţa unui grup de persoane de încredere. Perechile de chei pentru Autorităţile de Certificare care funcţionează în cadrul DigiSign sunt generate la anumite staţii de lucru autentificate şi conectate la module hardware de securitate, conforme cu cerinţele FIPS 140-2 Nivel 3. Ele sunt menţinute în permanenţă criptate pe aceste dispozitive.

Procesul de generare de perechi de chei pentru Autorităţile de Certificare este similar cu procedura acceptată de generare a cheilor în cadrul DigiSign. Acţiunile întreprinse în momentul generării perechii de chei sunt înregistrate, datate şi semnate de fiecare persoană prezentă în timpul generării. Înregistrările sunt păstrate din motive de audit sau pentru verificările obişnuite ale sistemului. Operatorii Autorităţii de Înregistrare deţin numai chei pentru autentificarea tuturor acţiunilor lor.

Aceste chei sunt generate de operator (în prezenţa administratorilor de secrete) prin intermediul unei aplicaţii software autentificată, furnizată de Autoritatea de Certificare şi conectată la un modulul hardware de securitate conform cu cerinţele FIPS 140-2 Nivel 2.

În general, fiecare Abonat îşi generează singur perechea de chei. Generarea poate fi, de asemenea, făcută de către o Autoritate de Certificare DigiSign. Astfel, DigiSign poate, la cererea Abonatului sau la cererea operatorului Autorităţii de Certificare, să genereze o pereche de chei şi să o trimită în siguranţă Abonatului. În astfel de cazuri sunt folosite aplicaţii şi dispozitive criptografice conforme cu FIPS 140-2 Nivel 2.

7.1.2. Distribuirea cheii private către titularul certificatului digital

Dacă perechea de chei a Abonatului este generată de către o Autoritate de Certificare DigiSign cheile se distribuie Abonatului astfel:

➢ cheile sunt stocate pe un dispozitiv criptografic securizat sau în format PKCS#12 pentru certificatele digitale simple și sunt livrate personal Abonatului sau printr-o scrisoare poştală recomandată, cu confirmare de primire;

➢ informațiile pentru accesarea dispozitivului criptografic securizat (codul PIN) sunt livrate împreuna cu restul documentelor către Abonat fie personal, fie prin scrisoare poștală recomandată.

7.1.3. Distribuirea cheii publice de către Autoritatea de Certificare

Abonaţii trimit cheia lor publică generată sub formă de cerere electronica, al cărui format trebuie să respecte standardul PKCS#10 (CSR). Cererile trimise unei Autorităţi de Certificare DigiSign pot necesita, în anumite cazuri, o confirmare emisă de Autoritatea de Înregistrare. Trimiterea cheii publice nu este necesară atunci când perechea de chei este generată, la cererea Abonatului sau la cererea operatorului Autorităţii de Înregistrare, de către Autoritatea de Certificare, care emite simultan un certificat pentru perechea de chei generată.

Pagina 58 din 86

7.1.4. Distribuirea cheii publice a Autorității de Certificare către Entitățile Partenere

Cheile publice ale unei Autorităţi de Certificare Digisign, care emite certificate către Abonaţi, sunt distribuite în exclusivitate sub formă de certificate conform recomandărilor ITU-T X.509 v.3. În cazul Autorităţii de Certificare Primară DigiSign Qualified Public CA v2, certificatele sunt autosemnate. Autorităţile de Certificare DigiSign distribuie certificatele proprii prin plasarea în Registrul electronic al certificatelor digitale, disponibil pentru a fi consultat la adresa www.digisign.ro.

7.1.5. Dimensiunea cheilor

Perechile de chei trebuie sa aibă o lungime suficientă, astfel încât să prevină deducerea cheii private de către alții, folosind procedee precum criptoanaliză, în timpul utilizarii acestor perechi de chei. Dimensiunea cheilor folosite de AC, operatorii AI și utilizatori au o lungime de 2048 de biți. Orice cheie generată pe un dispozitiv criptografic și folosită pentru un certificat digital are dimensiunea de 2048 de biți.

7.1.6. Parametrii de generare a cheilor publice și verificarea calității parametrilor

Cel care generează o cheie este responsabil de verificarea calităţii parametrilor cheii generate. Principalele atribute pe care acesta trebuie să le verifice sunt:

➢ posibilitatea de a efectua operaţii de criptare şi decriptare, inclusiv creare de semnături electronice şi verificarea acestora;

➢ procesul de generare a cheii trebuie să se bazeze pe generatoare puternice de numere aleatoare – surse fizice de zgomot alb, dacă este posibil;

➢ imunitatea la atacuri cunoscute (în cazul algoritmilor RSA şi DSA).

7.1.7. Utilizarea cheilor

Scopurile în care pot fi folosite cheile sunt date de câmpul KeyUsage din cadrul extensiilor standard ale certificatelor X.509 v3. Folosirea biţilor din câmpul KeyUsage trebuie să respecte următoarele reguli:

a) digitalSIGNature: certificat pentru verificarea de semnături electronice; b) nonRepudiation: certificat pentru furnizarea de servicii de non-repudiere de către persoane fizice. Bitul de non-repudiere poate fi setat numai într-un certificat de cheie publică cu care se intenţionează verificarea semnăturilor electronice şi nu trebuie combinat cu cele descrise la punctele c) - e) şi în legătură cu asigurarea confidenţialităţii; c) keyEncipherment: folosit pentru a cripta cheile pentru algoritmi simetrici, oferind confidenţialitatea datelor; d) dataEncipherment: folosite pentru criptarea datelor Abonatului, altele decât cele de la punctele c) şi e); e) keyAgreement: folosit în protocoale de schimb de chei, f) keycertSIGN: cheia publică este folosită pentru verificarea semnăturii electronice în certificatele emise de entităţi care oferă servicii de certificare; g) cRLSIGN: cheia publică este folosită pentru verificarea semnăturilor electronice din listele de certificate revocate şi suspendate emise de entităţile care oferă servicii de certificare;

Pagina 59 din 86

h) encipherOnly: poate fi folosit exclusiv cu bitul de keyAgreement pentru a indica criptarea datelor în procesul de schimb de chei; i) decipherOnly: poate fi folosit exclusiv cu bitul de keyAgreement pentru a indica decriptarea datelor în procesul de schimb de chei.

7.2. Protecția cheii private

Fiecare Abonat, operator al Autorităţii de Certificare şi Autoritate de Certificare generează cheia sa privată folosind un sistem sigur care previne pierderea, dezvăluirea, modificarea sau accesul neautorizat la această cheie. Dacă o Autoritate de Certificare generează o pereche de chei la cererea Abonatului, trebuie să o livreze acestuia în siguranţă şi să impună Abonatului protejarea cheii sale private.

7.2.1. Standardele pentru modulele criptografice

Pentru emiterea certificatelor calificate, AC DigiSign utilizeaza un HSM care respectă cerințele standardului FIPS 140-2 Nivel 2 și 3. Accesul fizic la acesta este restricționat de un sistem de control al accesului și nu poate fi și activat decât de două persoane simultan. Crearea semnăturii electronice și criptarea datelor se face în conformitate cu standardul RSA PKCS#7.

7.2.2. Controlul dual al cheii private

Serviciile DigiSign folosesc module hardware care necesită implicarea mai multor persoane pentru a îndeplini sarcini sensibile. Toate instrumentele necesare realizării acestor operațiuni sunt stocate în siguranță și nu pot fi accesate fără informațiile deținute de către persoane autorizate. Controlul dual al cheii private se aplică tuturor cheilor private ale Autorităților de Certificare DigiSign, iar activarea cheilor necesită prezența a cel puțin două persoane de încredere. Controlul dual al accesului se realizează prin distribuirea de secrete operatorilor autorizați.

7.2.3. Custodia cheii private

Cheile private de semnare ale Abonatului sau cheile private ale Autorităţilor de Certificare nu fac obiectul predării în custodie.

7.2.4. Back-up-ul cheii private

Autoritățile de Certificare care operează în cadrul DigiSign creează o copie de siguranță a cheii lor private. Copiile sunt folosite în cazul punerii în aplicare a procedurilor standard sau de urgență (recuperare în caz de dezastru) de recuperare a cheii. Copiile cheilor private sunt protejate prin secrete partajate. DigiSign stochează copiile cheilor private ale AI conform procedurii de restaurare în caz de dezastru, folosind dispozitive certificate FIPS 140-2, Nivel 3 și CC EAL 4+.

7.2.5. Arhivarea cheii private

După expirarea perioadei de valabilitate, cheile private ale AC, care operează în cadrul DigiSign, vor fi arhivate pe o perioadă de cel puțin 5 ani. Acestea sunt stocate în siguranță,

Pagina 60 din 86

folosind module hardware criptografice care satisfac cerințele Capitolului 7.2.1. – Standardele pentru modulele criptografice. Cheile AC sunt distruse la finalul perioadei de arhivare, folosind controlul dual, într-o locație securizată din punct de vedere fizic. Cheile arhivate nu sunt niciodată puse în producție.

7.2.6. Metoda de activare a cheii private

Metodele de activare a cheii private, deținute de Abonații AC DigiSign, se referă la activarea cheii înainte de orice folosire a sa sau de începerea unei sesiuni de lucru ce necesită folosirea cheii respective. O cheie odată activată poate fi folosită până la dezactivare. Executarea procedurilor de activare și dezactivare ale unei chei private depinde de tipul entității care deține cheia respectivă (Abonat, Autoritate de Înregistrare, Autoritate de Certificare, dispozitiv hardware etc), de senzitivitatea datelor protejate de cheie și de intervalul de timp în care cheia trebuie să rămână activă.

În cazul Abonaților, activarea cheii private presupune autentificarea folosind parole puternice (pentru a preîntâmpina accesul neautorizat și folosirea frauduloasă a cheii private). Utilizatorii trebuie să folosească dispozitive de creare a semnăturii digitale, securizate (smartcard-uri, e-token) pentru stocarea cheilor private. DigiSign recomandă folosirea a două mecanisme de autentificare (card și parolă, dispozitiv securizat și PIN).

Abonații sunt singurii responsabili pentru protecția cheilor private pe care le au în posesie acestia fiind obligati sa ia masurile necesare pentru a preveni pierderea, dezvăluirea, modificarea sau utilizarea neautorizată a cheii sale private. DigiSign nu deține nici o responsabilitate în generarea, protejarea sau distribuirea acestor chei.

Toate cheile private ale DigiSign Qualified ROOT CA v2, DigiSign Qualified ROOT Certification Authority, DigiSign DEMO CA,DigiSign Qualified Public CA și DigiSign Enterprise CA, sunt activate de un număr limitat de entități, care își furnizează instrumentele de autentificare (dispozitive sau parole), conform Capitolului 7.2.2. - Controlul dual al cheii private. Activarea cheilor private este întotdeauna precedată de autentificarea operatorului. Autentificarea se realizează pe baza unui card criptografic deținut de către operator. Pentru toate Autoritățile de Certificare DigiSign, cheia privată este activată pentru o perioadă nedeterminată de timp, iar modulul rămâne online în centrul de producție a datelor până când Autoritatea de Certificare este scoasă offline (ex: pentru întreținerea sistemului). Acționarii DigiSign trebuie să-și protejeze părțile secrete și să semneze un act de recunoaștere a obligațiilor (responsabilităților) pe care le au în calitate de acționari.

Cheile private ale administratorilor sunt activate după autentificarea acestora prin folosirea unei parole împreună cu un smartcard, un dispozitiv securizat (în conformitate cu prevederile Capitolului 7.4.1. – Generarea perechilor de chei.

Pentru protecția cheilor private ale administratorului, DigiSign are în vedere următoarele cerințe: (1) utilizarea unui smartcard, dispozitiv securizat cu parola, în conformitate cu Capitolul 7.2.1. – Standardele pentru modulele criptografice sau (2) o măsură de securitate cu putere echivalenta pentru autentificarea administratorului înainte de activarea cheii private (exemplu: parola de intrare în sistemul de operare Windows, de screen server sau o parola de intrare în rețea).

Pagina 61 din 86

Cheile private ale operatorilor Autorității de Înregistrare sunt activate după autentificarea operatorului (prin folosirea parolei) și numai pe durata unei singure operații criptografice care necesită folosirea cheii respective. Ca urmare a încheierii acestei operații, cheia privată este dezactivată și trebuie reactivată înaintea executării altei operații criptografice.

7.2.7. Metoda de dezactivare a cheii private

Metodele de dezactivare a cheii private se referă la dezactivarea cheii dupa folosirea acesteia sau ca urmare a terminării unei sesiuni în timpul căreia a fost folosită cheia. Cheile private stocate pe un modul de securitate hardware sunt dezactivate odată cu scoaterea cardului din dispozitiv.

În cazul unui utilizator, dezactivarea cheii private se realizează la ieșirea din aplicație, când de fapt, se încheie sesiunea de lucru, sau prin scoaterea cardului din modul, în funcție de mecanismul de autentificare folosit de utilizator. Daca în timpul executării operației criptografice, cheia privată a fost stocată în memoria aplicației, aplicația trebuie să prevină refacerea neautorizată a cheii private.

În timpul utilizării, modulele de securitate hardware nu trebuie lăsate nesupravegheate sau în orice alta stare care ar putea favoriza accesul neautorizat la ele. Când nu sunt folosite, modulele trebuie depozitate într-o locație încuiată care beneficiază de un grad sporit de securitate.

7.2.8. Metoda de distrugere a cheii private

Distrugerea cheii private a unui Abonat sau operator al AI presupune ștergerea ei de pe mediul de stocare, astfel încât să se asigure faptul că nu au rămas fragmente ale cheii care ar putea permite reconstituirea ei. Modulele de securitate hardware (primare și cele de back-up) sunt reinițializate în conformitate cu specificațiile producătorului. În cazul în care această procedură eșuează, DigiSign își asumă obligația de a distruge echipamentele într-un mod care să nu permită recuperarea cheii private. Fiecare distrugere de cheie privată trebuie să fie înregistrată în jurnalul de evenimente.

7.3. Alte aspecte cu privire la managementul perechilor de chei

Cerințele acestui capitol se referă la procedurile de arhivare a cheii publice și la perioada de validitate a cheilor publice și private ale fiecărui Abonat, inclusiv ale Autorităților de Certificare. Tehnic, o pereche de chei poate fi utilizată cu succes/în egala măsură pentru crearea semnăturilor electronice, dar și în operațiile de criptare de date. Prin acest Cod de Practici și Proceduri, Digisign restricționează combinarea operațiilor pentru certificatele emise de Autoritatea de Certificare DigiSign.

7.3.1. Arhivarea cheilor publice

Scopul arhivării cheilor publice este acela de a crea posibilitatea verificării semnăturii electronice după eliminarea unui certificat din registrul electronic al certificatelor digitale. Acest lucru este foarte important în cazul serviciilor de non-repudiere, cum ar fi serviciile de marcă temporală sau verificare a stării unui certificat. Arhivarea cheilor publice presupune arhivarea

Pagina 62 din 86

certificatelor care conțin aceste chei. Certificatele emise de AC DigiSign sunt supuse procesului de salvare de siguranță și arhivare, aceasta constituind parte a procedurilor de back-up.

7.3.2. Managementul cheilor utilizatorilor

DigiSign nu furnizează nici un fel de serviciu de management al cheilor utilizatorilor.

7.4. Date utilizate pentru accesarea dispozitivelor criptografice securizate sau a certificatelor digitale

Datele utilizate pentru accesarea dispozitivelor criptografice securizate sau a certificatelor digitale sunt folosite pentru a crea operații criptografice cu acestea. Acestea sunt folosite, de regulă, pentru autorizarea entităților și pentru a controla accesul la cheia privată.

7.4.1. Generarea și utilizarea datelor pentru activare

Datele de activare sunt folosite ca element al unei proceduri de autentificare bazată pe mai mulți factori (parolă, cod PIN, dispozitiv securizat) sau ca parte a unui secret partajat. În cazul activării cheii private, se recomandă utilizarea a două mecanisme de autentificare (smartcard-uri și parolă, dispozitive securizate și PIN-uri). Secretele partajate folosite pentru protejarea cheii private a AC sunt generate și păstrate pe carduri criptografice. Cardurile sunt protejate prin codul PIN.

7.4.2. Protecția datelor pentru activare

Protecția datelor de activare include metodele de control a acestor date prin care se previne dezvăluirea lor. În cazul fazei de autentificare, se impun recomandările descrise în FIPS 112, pe când protejarea secretelor partajate necesită implementarea standardului FIPS 140.

Se recomandă ca datele de activare folosite pentru activarea cheii private să fie protejate prin controale criptografice și de acces fizic. DigiSign recomandă ca protejarea cheilor private să se faca prin utilizarea de dispozitive hardware (e-token) și parole puternice. De asemenea, se încurajează folosirea a două mecanisme de autentificare (smart-card și parola sau, dispozitive securizate și PIN).

Dacă datele de activare sunt scrise, nivelul de protecție trebuie să fie același cu cel al datelor pe care le protejează prin folosirea cardului criptografic. Mai multe încercări nereușite de a accesa modulul criptografic trebuie să ducă la blocarea sau distrugerea acestuia.

Datele de activare stocate nu trebuie să fie păstrate niciodata împreună cu cardul criptografic. Acestea sunt stocate într-un singur exemplar. Datele de activare care protejează accesul la cheia privată stocată pe carduri criptografice pot fi schimbate periodic. Datele de activare fac obiectul arhivării.

7.5. Controale de securitate a computerelor

Pagina 63 din 86

Sarcinile efectuate de către operatorii Autorităților de Înregistrare și Certificare DigiSign sunt realizate prin intermediul unor dispozitive hardware și aplicații software de încredere.

7.5.1. Cerințe tehnice specifice securității computerelor

În acest capitol sunt prezentate cerintele tehnice care se referă la controalele de securitate specifice sistemelor de calcul și aplicațiilor, folosite în cadrul DigiSign. Serverele și sistemele de calcul din cadrul DigiSign rulează pe sisteme de încredere, configurate și testate, folosind cele mai bune practici în domeniu. Sistemele sunt scanate pentru detecția programelor cu caracter malițios și, de asemenea, sunt protejate împotriva programelor de tip spyware, malware și virus. DigiSign limitează accesul la serverele de producție doar acelor persoane care au motive întemeiate pentru un astfel de acces. Utilizatorii aplicațiilor generale nu au conturi la serverele de producție.

Rețeaua de producție DigiSign este prevăzută cu soluții firewall pentru protecția împotriva tentativelor de intruziune din interior sau exterior și pentru limitarea proceselor din rețea, care ar putea produce vulnerabilități în sistemele de producție. DigiSign solicită operatorilor folosirea de parole, care să conțină un număr minim de caractere și o combinație de caractere speciale și alfanumerice, precum și schimbarea periodică a acestora.

Accesul direct la bazele de date care susțin registrul este limitat la persoanele de încredere, care au motive întemeiate pentru un astfel de acces.

7.5.2. Evaluarea securității computerelor

Sistemele de calcul DigiSign respectă cerințele descrise în standardele ETSI: ETSI TS 101456 – Cerințele de Politică pentru Autoritățile de Certificare care emit certificate calificate, CEN CWA 14167 – Cerințele de Securitate pentru Sisitemele de Încredere care asigură Managementul certificatelor pentru Semnătură Electronică și ISO 27001 (standard implementat si certificat în cadrul DigiSign).

7.6. Controale tehnice specifice gestionării certificatelor digitale

7.6.1. Controale specifice dezvoltării sistemului

Implementarea sistemelor în cadrul DigiSign se realizează conform standardelor în vigoare privind dezvoltarea sistemelor și managementul schimbărilor. Rezultatele implementării modificărilor vor fi testate într-un mediu de test înainte de a fi lansate în mediul de producție. Acest proces este realizat de către personalul IT împreună cu utilizatorii finali ai aplicațiilor din cadrul departamentelor care folosesc sistemul modificat. Testarea se realizează pe baza unor scenarii de testare predefinite și care includ: persoanele responsabile de testare, reprezentanții departamentelor implicate, durata de desfășurare a testelor, datele de test, etc. Datele de testare nu vor fi folosite în mediul de producție, iar datele din mediul de productie nu se vor putea utiliza în procesul de testare decât dacă au fost depersonalizate.

7.6.2. Controale pentru managementul securității

Pagina 64 din 86

Scopul controalelor pentru managementul securității este de a superviza funcționalitatea sistemelor informatice ale DigiSign, garantând astfel funcționarea corectă și în concordanță cu cerințele operaționale. Controalele aplicate sistemelor DigiSign permit verificarea continuă a integrității aplicațiilor, versiunii și autentificarea, respectiv verificarea originii dispozitivelor hardware.

7.7. Controale de securitate a rețelei

Serverele și statiile de lucru de încredere aparținând DigiSign sunt conectate prin intermediul unei rețele locale (LAN), divizate în mai multe subrețele, cu acces controlat. Orice conexiune care provine din exterior și are ca scop accesarea resurselor DigiSign, este controlată și protejată printr-o serie de dispozitive de tip firewall, servicii proxy și sisteme de prevenire (IPS – Intrusion Prevetion System) și detecție (IDS – Intrusion Detection System). Protocoalele utilizate pentru transmiterea mesajelor sunt HTTP(S), LDAP(S), NTP, POP3(S), IMAP(S) si SMTP(S). Evenimentele (log-urile) sunt înregistrate în jurnalele de sistem și permit supravegherea folosirii corecte a serviciilor furnizate de DigiSign.

7.8. Controale specifice modulelor criptografice

Modulele criptografice acceptate și utilizate de DigiSign sunt cele care întrunesc condițiile prevazute în Capitolul 7.2.1. – Standardele pentru modulele criptografice. Controalele de acces logic la aceste module sunt cele definite în standardul FIPS 140-2 Nivel 3, iar accesul fizic la ele se face conform Capitolului 6.1. – Controale de securitate fizică.

8. Profilul certificatelor, CRL și OCSP

Prezentul capitol descrie formatul certificatelor digitale emise de către Autoritățile de Certificare care aparțin de domeniul DigiSign, precum și profilul seriviciilor adiționale, respectiv CRL și OCSP. Profilul certificatelor și al listei certificatelor revocate (CRL) este creat respectând formatul determinat de standardul ITU-T X.509 versiunea 3, iar profilul protocolului de verificare online a stării certificatelor (OCSP) este creat conform cerințelor descrise în RFC 2560.

8.1. Profilul certificatelor. Numărul versiunii

Certicatele digitale emise de către Autoritățile de Certificare DigiSign pentru utilizatorii finali și pentru sine, respectă versiunea 3 a standardului ITU-T X.509. În conformitate cu standardul X.509 v3, un certificat reprezintă o secvență compusă din trei câmpuri esențiale:

➢ corpul certificatului (eng. tbsCertificate); ➢ informații despre algoritmul utilizat pentru semnarea certificatului (eng.

signatureAlgorithm); ➢ semnătura electronică a Autorității de Certificare (eng. signatureValue).

8.1.1. Corpul certificatului

Corpul certificatului este format din câmpurile de baza ale acestuia, precum numele Subiectului și al Emitentului, Cheia Publică asociată Subiectului, Perioadă de valabilitate a

Pagina 65 din 86

certificatului ș.a, și extensiile care pot fi standard, determinate de actele normative în vigoare, sau suplimentare, determinate de Autoritatea de Certificare Emitentă.

8.1.1.1. Câmpurilor de bază

Câmpul Valoarea

Version V3

Serial Number Valoarea unică aferentă fiecărui certificat emis de către o AC

Signature Algorithm Sha1RSA; Sha256RSA

Signature Hash Algorithm

Sha1; Sha2

Issuer Datele de identificare ale Autorității de Certificare emitentă, descrise în cadrul Capitolului ..

Valid from Momentul care marchează începutul perioadei de valabilitate, calculat în baza coordonatorul de timp universal sincronizat cu ceasul principal al Observatorului Naval al SUA, codificat în conformitate cu RFC 2459.

Valid to Momentul care marchează sfârșitul perioadei de valabilitate, calculat în baza coordonatorul de timp universal sincronizat cu ceasul principal al Observatorului Naval al SUA, codificat în conformitate cu RFC 2459.

Subject Numele distinctiv al Subiectului certificatului, conform standardului X.509, descrise în cadrul Capitolului 4.1. – Nume.

Subject Public Key Cheia publică a Subiectului certificatului, în conformitate cu RFC 3280

8.1.1.2. Extensiile certificatelor

Extensiile definite pentru certificatele digitale de tip X.509 v3 oferă metode de asociere a unor atribute suplimentare cu datele Subiecților sau cu cheile publice ale acestora, și gestionează ierarhia de certificare din cadrul AC-urilor. Formatul certificatelor X.509 v3 permite Autorităților de Certificare definirea unor extensii suplimentare pentru a susține informații unice despre acestea.

Fiecare extensie a unui certificat este construită a fi ori critică ori non-critică. O aplicație care folosește un certificat având în structura sa o extensie critică nerecunoscută, va respinge întotdeauna respectivul certificat, în schimb, extensiile non-critice nerecunoscute pot fi omise. DigiSign utilizează următoarele tipuri de extensii pentru certificate digitale:

• Authority Information Access: extensie non-critică care indică metoda de informare și furnizare a serviciilor de către emitentul certificatului;

• Subject Key Identifier: extensie non-critică; identificatorul cheii publice a subiectului;

• Authority Key Identifier: extensie non-critică reprezentând identificatorul cheii publice a Autorității de Certificare emitentă;

• Certificate Polices: extensie non-critică reprezentând politica sau politicile sub care o Autoritate de Certificare emite un certificat și care conține informații despre politica respectivă precum identificatorul și adresa la care aceasta este depozitată;

Pagina 66 din 86

• Policy Mappings: extensie non-critică utilizată doar în certificatului digital al unei AC.

• CRL Distribution Points: extensie non-critică care definește adresă la care este publicată Lista Certificatelor Revocate (CRL);

• Subject Alternative Name: extensie care poate avea fie caracter critic, fie caracter non-critic, reprezentând numele alternative ale subiectului (e-mail, nume DNS, adresă IP, URI);

• Basic Constraints: extensie critică care indică tipul subiectului (ex. CA sau utilizator final) și lungimea maxim admisă pentru lanțul de certificate;

• Key Usage: extensie critică care indică aria de aplicabilitate a certificatelor, precum: ➢ digitalSignature ➢ keyCertSign

➢ nonRepudiation ➢ cRLSign

➢ keyEncipherment ➢ encipherOnly

➢ dataEncipherment ➢ decipherOnly

➢ keyAgreement

• Enhanced Key Usage: extensie non-critică cu rol de a restrânge aria de utilizare a certificatului, precum: ➢ anyExtendedKeyUsage ➢ timeStamping (Time Stamping)

➢ serverAuth (Server Authentification) ➢ OCSPSigning (OCSP Singing)

➢ clientAuth (Client Authentification) ➢ Smart Card Logon

➢ codeSigning (Code Signing) ➢ Document Signing

➢ emailProtection (Secure Email)

8.1.2. Informații despre algoritmul utilizat pentru semnarea certificatului

Câmpul signatureAlgorithm conține identificatorul algoritmului criptografic utilizat de către AC pentru semnarea electronică a certificatului. În conformitate cu art. 39 al Normelor Tehnice și Metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, Autoritățile de Certificare DigiSign utilizează algoritmul de criptare RSA în combinație cu funcția hash-code SHA-1.

8.1.3. Semnătura electronică a Autorității de Certificare

Câmpul signatureValue reprezintă rezultatul aplicării funcției hash asupra tuturor câmpurilor certificatului și al criptării ulterioare a rezultatului obținut, utilizând cheia privată a Autorității de Certificare Emitentă. Prin generarea acestei semnături, Autoritatea de Certificare atestă validitatea informațiilor cuprinse în corpul certificatului. Practic, o AC autentifică legătura dintre datele înscrise în cheia publică și informațiile despre Subiectul certificatului.

8.1.4. Certificate

Certificatele digitale emise de către Autoritățile de Certificare din cadrul DigiSign conțin câmpurile de bază și diferite combinații ale extensiilor certificatelor. Astfel, se disting următoarele profile:

a. Profilul certificatelor digitale ale Autorităților de Certificare

Pagina 67 din 86

DigiSign Qualified ROOT CA v2 (SHA-1)

Domeniu Valoare

Version V3

Serial Number 49 f0 6d e7 c7 e1 d4 4b

Signature Algorithm sha1RSA

Signature Hash Algorithm sha1

Issuer C = RO O = DigiSign S.A OU = DigiSign Root CA CN = DigiSign Qualified Root CA v2

Valid from 9 decembrie 2011 11:44:35

Valid to 9 decembrie 2031 11:44:35

Subject C = RO O = DigiSign S.A OU = DigiSign Root CA CN = DigiSign Qualified Root CA v2

Public Key RSA (4096 Bits)

Subject Key Identifier d6 c7 b1 b2 0c f9 15 a8 22 76 06 28 fe 82 9c 5d 95 59 66 96

Authority Key Identifier KeyID=d6 c7 b1 b2 0c f9 15 a8 22 76 06 28 fe 82 9c 5d 95 59 66 96

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=None

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign Qualified Public CA (SHA-1)

Domeniu Valoare

Version V3

Serial Number 45 1c 28 8d ab 8c 62 ee

Signature Algorithm sha1RSA

Signature Hash Algorithm sha1

Issuer C = RO O = DigiSign S.A OU = DigiSign Root CA CN = DigiSign Qualified Root CA v2

Valid from 9 decembrie 2011 11:45:20

Valid to 9 decembrie 2031 11:45:20

Pagina 68 din 86

Subject C = RO O = DigiSign S.A OU = DigiSign Public CA CN = DigiSign Qualified Public CA

Public Key RSA (4096 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier 7a 34 cd 29 e2 51 20 96 07 73 22 14 80 49 22 d6 81 ba a9 d2

Authority Key Identifier KeyID=d6 c7 b1 b2 0c f9 15 a8 22 76 06 28 fe 82 9c 5d 95 59 66 96

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.1.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/qualifiedrootcav2/latest.crl

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=0

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign DEMO CA (SHA-1)

Domeniu Valoare Version V3

Serial Number 5f 32 38 56 dd 2c a7 42

Signature Algorithm sha1RSA

Signature Hash Algorithm sha1

Issuer C = RO O = DigiSign S.A OU = DigiSign Root CA CN = DigiSign Qualified Root CA v2

Valid from 17 iulie 2014 14:16:54

Valid to 16 iulie 2017 14:16:54

Subject C = RO O = DigiSign S.A OU = DigiSign DEMO CN = DigiSign DEMO CA

Public Key RSA (4096 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier cb 59 9f 50 c9 40 ca b1 35 0b 40 e9 bb 2d 78 07 33 d6 f5 99

Authority Key Identifier KeyID=d6 c7 b1 b2 0c f9 15 a8 22 76 06 28 fe 82 9c 5d 95 59 66 96

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.0.1.0 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

Pagina 69 din 86

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/qualifiedrootcav2/latest.crl

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=0

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign Enterprise CA (SHA-2)

Domeniu Valoare Version V3

Serial Number 5b f6 99 55 ae 1f af b0

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Issuer C = RO O = DigiSign S.A OU = DigiSign Root CA CN = DigiSign Qualified Root CA v2

Valid from 11 iulie 2014 19:42:54

Valid to 11 iulie 2024 19:42:54

Subject C = RO O = DigiSign S.A OU = DigiSign Enterprise CA CN = DigiSign Enterprise CA

Public Key RSA (4096 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier cc e2 5f 40 c5 7c db 14 88 4d 05 f0 0d c7 d7 0f 65 fe f3 63

Authority Key Identifier KeyID=d6 c7 b1 b2 0c f9 15 a8 22 76 06 28 fe 82 9c 5d 95 59 66 96

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.4.1.0 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/qualifiedrootcav2/latest.crl

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=0

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign Root Certification Authority (SHA-2)

Domeniu Valoare

Version V3

Serial Number 16 5e 1c 37 56 d0 2b 77

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Pagina 70 din 86

Issuer CN = DigiSign Root Certification Authority OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Valid from 30 octombrie 2014 14:40:13

Valid to 30 octombrie 2034 14:40:13

Subject CN = DigiSign Root Certification Authority OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Public Key RSA (4096 Bits)

Subject Key Identifier 49 08 ac 07 8c 1f b8 2e 71 b6 5c 4c a2 5e 09 6e 01 2b 6a 4e

Authority Key Identifier KeyID=49 08 ac 07 8c 1f b8 2e 71 b6 5c 4c a2 5e 09 6e 01 2b 6a 4e

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=None

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign Qualified Public CA (SHA-2)

Domeniu Valoare

Version V3

Serial Number 7a 50 f1 1f 24 5a f5 32

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Issuer CN = DigiSign Root Certification Authority OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Valid from 30 octombrie 2014 14:52:22

Valid to 30 octombrie 2024 14:52:22

Subject CN = DigiSign Qualified Public CA OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Public Key RSA (4096 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier 84 3f 38 16 39 49 7f 5c d3 6c 40 51 ff af fe 87 53 f3 f0 97

Authority Key Identifier KeyID=49 08 ac 07 8c 1f b8 2e 71 b6 5c 4c a2 5e 09 6e 01 2b 6a 4e

Pagina 71 din 86

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.256.3.1.20141030 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/repository/rootcav3.crl

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=0

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign DEMO CA (SHA-2)

Domeniu Valoare Version V3

Serial Number 2c dc f7 3c 29 56 21 92

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Issuer CN = DigiSign Root Certification Authority OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Valid from 2 noiembrie 2016 23:26:28

Valid to 2 noiembrie 2019 23:26:28

Subject CN = DigiSign DEMO CA OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Public Key RSA (4096 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier 36 e5 36 bc 67 05 64 20 64 bc cd 9f ab ef 7c 73 24 0a a0 e8

Authority Key Identifier KeyID=49 08 ac 07 8c 1f b8 2e 71 b6 5c 4c a2 5e 09 6e 01 2b 6a 4e

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.256.1.1.20141030 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/repository/rootcav3.cr

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=0

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

DigiSign Enterprise CA (SHA-2)

Domeniu Valoare Version V3

Serial Number 7e d3 18 dc 78 8f 26 cf

Signature Algorithm Sha256RSA

Pagina 72 din 86

Signature Hash Algorithm Sha256

Issuer CN = DigiSign Root Certification Authority OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Valid from 30 octombrie 2014 15:21:23

Valid to 30 octombrie 2024 15:21:23

Subject CN = DigiSign Enterprise CA OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Public Key RSA (4096 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier e0 00 77 a0 b4 75 7e c8 8b e8 47 cd 7b 2f fd 5d 7c a3 17 11

Authority Key Identifier KeyID=49 08 ac 07 8c 1f b8 2e 71 b6 5c 4c a2 5e 09 6e 01 2b 6a 4e

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.256.3.2.20141030 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/repository/rootcav3.crl

Basic Constraints (Critical) Subject Type=CA Path Length Constraint=0

Key Usage (Critical) Certificate Signing, Off-line CRL Signing, CRL Signing (06)

b. Profilul certificatelor digitale ale utilizatorilor finali Certificate digitale simple (SHA-1)

Domeniu Valoare Version V3

Serial Number Valoarea unică a certificatului digital

Signature Algorithm sha1RSA

Signature Hash Algorithm sha1

Issuer C = RO O = DigiSign S.A. OU = DigiSign DEMO CN = DigiSign DEMO CA

Valid from Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Valid to Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Subject CN = Numele comun al Subiectului SERIALNUMBER = Numele Distinctiv C = Țara L = Localitatea O = Societatea (opțional) OU = Departamentul (opțional) T = Funcția (opțional)

Public Key RSA (2048 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name:

Pagina 73 din 86

URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a certificatului utilizatorului final

Authority Key Identifier Identificator, conform RFC Internet X.509, privind cheia publicp a ceritifcatului Autorității de Certificare Emitentă.

Certificate Policies [[1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.0.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap://ldap.digisign.ro/cn=DigiSign DEMO CA,ou=DigiSign DEMO,o=DigiSign S.A.,c=RO?certificateRevocationList;binary [2]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/democa.crl

Subject Alternative Name Conform RFC 822, Name: exemplu@domeniu.com

Basic Constraints (Critical) Subject Type=End Entity Path Length Constraint=None

Key Usage (Critical) Digital Signature (80)

Enhanced Key Usage (Critical) Client Authentication (1.3.6.1.5.5.7.3.2) Secure Email (1.3.6.1.5.5.7.3.4)

Certificate digitale calificate (SHA-1)

Domeniu Valoare Version V3

Serial Number Valoarea unică a certificatului digital

Signature Algorithm sha1RSA

Signature Hash Algorithm sha1

Issuer C = RO O = DigiSign S.A. OU = DigiSign Public CA CN = DigiSign Qualified Public CA

Valid from Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Valid to Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Subject CN = Numele comun al Subiectului SERIALNUMBER = Numele Distinctiv C = Țara L = Localitatea O = Societatea (opțional) OU = Departamentul (opțional) T = Funcția (opțional)

Public Key RSA (2048 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a certificatului utilizatorului final

Authority Key Identifier Identificator, conform RFC Internet X.509, privind cheia publicp a ceritifcatului Autorității de Certificare Emitentă.

Qualified Certificate Statement

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.1.1.2

Pagina 74 din 86

[1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/qualifiedpublicca/latest.crl

Subject Alternative Name Conform RFC 822, Name: exemplu@domeniu.com

Basic Constraints (Critical) Subject Type=End Entity Path Length Constraint=None

Key Usage (Critical) Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)

Enhanced Key Usage (Critical) Client Authentication (1.3.6.1.5.5.7.3.2) Secure Email (1.3.6.1.5.5.7.3.4) Smart Card Logon (1.3.6.1.4.1.311.20.2.2) Document Signing (1.3.6.1.4.1.311.10.3.12)

Certificate digitale pentru semnare de cod (SHA-1)

Domeniu Valoare Version V3

Serial Number Valoarea unică a certificatului digital

Signature Algorithm sha1RSA

Signature Hash Algorithm sha1

Issuer C = RO O = DigiSign S.A OU = DigiSign Enterprise CA CN = DigiSign Enterprise CA

Valid from Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Valid to Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Subject CN = Numele comun al Subiectului SERIALNUMBER = Numele Distinctiv C = Țara L = Localitatea O = Societatea (opțional) OU = Departamentul (opțional)

Public Key RSA (2048 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a certificatului emis

Authority Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a ceritifcatului Autorității de Certificare Emitentă.

Certificate Policies [[1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.4.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [[1]CRL Distribution Point Distribution Point Name: Full Name: URL= http://crl.digisign.ro/enterpriseca/latest.crl

Subject Alternative Name Conform RFC 822, Name: exemplu@domeniu.com

Basic Constraints (Critical) Subject Type=End Entity Path Length Constraint=None

Pagina 75 din 86

Key Usage (Critical) Digital Signature

Enhanced Key Usage (Critical) Code Signing (1.3.6.1.5.5.7.3.3) MS Individual Code Signing (1.3.6.1.4.1.311.2.1.21) MS Commercial Code Signing (1.3.6.1.4.1.311.2.1.22)

Certificate digitale simple (SHA-2)

Domeniu Valoare Version V3

Serial Number Valoarea unică a certificatului digital

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Issuer CN = DigiSign DEMO CA OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Valid from Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Valid to Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Subject CN = Numele comun al Subiectului SERIALNUMBER = Numele Distinctiv C = Țara L = Localitatea O = Societatea (opțional) OU = Departamentul (opțional) T = Funcția (opțional)

Public Key RSA (2048 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a certificatului utilizatorului final

Authority Key Identifier KeyID=36 e5 36 bc 67 05 64 20 64 bc cd 9f ab ef 7c 73 24 0a a0 e8

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.256.1.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap://ldap.digisign.ro/cn=DigiSign DEMO CA,ou=DigiSign Certification Services,o=DigiSign S.A.,c=RO?certificateRevocationList;binary [2]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/repository/democav3.crl

Subject Alternative Name Conform RFC 822, Name: exemplu@domeniu.com

Basic Constraints (Critical) Subject Type=End Entity Path Length Constraint=None

Key Usage (Critical) Digital Signature (80)

Enhanced Key Usage (Critical) Client Authentication (1.3.6.1.5.5.7.3.2) Secure Email (1.3.6.1.5.5.7.3.4)

Certificate digitale calificate (SHA-2)

Pagina 76 din 86

Domeniu Valoare Version V3

Serial Number Valoarea unică a certificatului digital

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Issuer CN = DigiSign Qualified Public CA OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Valid from Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Valid to Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Subject CN = Numele comun al Subiectului SERIALNUMBER = Numele Distinctiv C = Țara L = Localitatea O = Societatea (opțional) OU = Departamentul (opțional) T = Funcția (opțional)

Public Key RSA (2048 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a certificatului utilizatorului final

Authority Key Identifier KeyID=84 3f 38 16 39 49 7f 5c d3 6c 40 51 ff af fe 87 53 f3 f0 97

Qualified Certificate Statement

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.256.3.1.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/repository/qualifiedpubliccav3.crl

Subject Alternative Name Conform RFC 822, Name: exemplu@domeniu.com

Basic Constraints (Critical) Subject Type=End Entity Path Length Constraint=None

Key Usage (Critical) Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)

Enhanced Key Usage (Critical) Client Authentication (1.3.6.1.5.5.7.3.2) Secure Email (1.3.6.1.5.5.7.3.4) Smart Card Logon (1.3.6.1.4.1.311.20.2.2) Document Signing (1.3.6.1.4.1.311.10.3.12)

Certificate digitale pentru semnare de cod (SHA-2)

Domeniu Valoare Version V3

Serial Number Valoarea unică a certificatului digital

Signature Algorithm Sha256RSA

Signature Hash Algorithm Sha256

Issuer CN = DigiSign Enterprise CA OU = DigiSign Certification Services O = DigiSign S.A. C = RO

Pagina 77 din 86

Valid from Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Valid to Momentul de timp bazat pe coordonatorul de timp universal, sincronizat cu ceasul principal al Observatorului Naval al USA, codificat în conformitate cu RFC 2459.

Subject CN = Numele comun al Subiectului SERIALNUMBER = Numele Distinctiv C = Țara L = Localitatea O = Societatea (opțional) OU = Departamentul (opțional)

Public Key RSA (2048 Bits)

Authority Information Acces [1]Authority Info Access Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1) Alternative Name: URL=http://ocsp.digisign.ro/ocsp

Subject Key Identifier Identificator, conform RFC Internet X.509, privind cheia publică a certificatului emis

Authority Key Identifier KeyID= e0 00 77 a0 b4 75 7e c8 8b e8 47 cd 7b 2f fd 5d 7c a3 17 11

Certificate Policies [1]Certificate Policy: Policy Identifier=1.3.6.1.4.1.34285.256.3.2.1 [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: http://www.digisign.ro/cppv2

CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://crl.digisign.ro/repository/enterprisecav3.crl

Subject Alternative Name Conform RFC 822, Name: exemplu@domeniu.com

Basic Constraints (Critical) Subject Type=End Entity Path Length Constraint=None

Key Usage (Critical) Digital Signature

Enhanced Key Usage (Critical) Code Signing (1.3.6.1.5.5.7.3.3) MS Individual Code Signing (1.3.6.1.4.1.311.2.1.21) MS Commercial Code Signing (1.3.6.1.4.1.311.2.1.22)

Profilele certificatelor digitale emise de către Autoritățile de Certificare DigiSign satisfac nevoile generale ale clienților, însă, la cerere expresă, se poate crea un nou profil prin personalizarea extensiilor utilizate.

8.2. Profilul CRL

Autoritățile de Certificare publică o Listă a Certificatelor Revocate (CRL) cu scopul de a furniza infomații despre starea certificatelor digitale emise, respectând versiunea 2 a standardului ITU-T X.509. O listă de tip CRL completă este formată din toate certificatele digitale neexpirate, emise de o anumită AC, care au fost revocate pe baza unuia dintre motivele pentru care se poate revoca un certificat, conform CPP-ului respectivei AC.

În conformitate cu standardul X.509 v2, o Listă a Certificatelor Revocate reprezintă o secvență compusă din trei câmpuri esențiale:

➢ corpul listei (eng. tbsCertList); ➢ informații despre algoritmul utilizat pentru semnarea listei (eng. signatureAlgorithm); ➢ semnătura electronică a Autorității de Certificare (eng. signatureValue).

Pagina 78 din 86

8.2.1. Numărul versiunii

Profilul certificatelor și al listei certificatelor revocate (CRL) este creat respectând formatul determinat de standardul ITU-T X.509 versiunea 3, iar profilul protocolului de verificare online a stării certificatelor (OCSP) este creat conform cerințelor descrise în RFC 2560.

8.2.2. CRL și extensiile CRL

Câmp Valoare

Versiune V3

Algoritmul semnăturii Sha1RSA; SHA256RSA

Emitent Autoritatea emitentă

Data intrării în vigoare Data emiterii listei de certificare revocate

Certificate revocate Lista certificatelor revocate, inclusiv numărul serial al acestora și data revocării.

8.3. Profilul OCSP

Serviciul OCSP este oferit de DigiSign în numele tuturor Autorităților de Certificare din cadrul acesteia. Acest serviciu reprezintă protocolul de verificare online a stării certificatelor și permite determinarea stării unui certificat digital emis de una din Autoritățile de Certificare din cadru DigiSign.

Serverul OCSP care operează în cadrul DigiSign emite confirmări ale stării certificatelor digitale emise de către Autoritățile de Certificare DigiSign în conformitate cu RFC 2560. Singura valoare permisă pentru numărul versiunii este 0 (zero), fiind echivalentul versiunii v1.

Serverul OCSP utilizează o pereche specială de chei, generată exclusiv cu scopul de a emite confirmări ale stării certificatelor digitale emise. De asemenea, acest serviciu conține extensii specifice, conform RFC 3280.

9. Standarde și recomandări internaționale

a. Recomandările Internet Engineering Task Force (IETF):

✓ RFC 2822 – Internet Message Format;

✓ RFC 1778 – The String Representation of Standard Attribute Syntaxes;

✓ RFC 3647 – Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework;

✓ RFC 6960 – X.509 Internet Public Key Infrastructure Online certificate Status Protocol – OCSP;

✓ RFC 3739 – Internet X.509 Public Key Infrastructure – Qualified certificate Profile;

✓ RFC 3161 – Internet X.509 Public Key Infrastructure – Time Stamp Protocol (TSP). updated by RFC 5816;

✓ RFC 5280 – Internet X.509 Public Key Infrastructure certificate and Certificate Revocation List (CRL) Profile);

Pagina 79 din 86

✓ RFC 6818 – Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile;

b. Recomandările International Telecomunication Union (ITU), seria X:

✓ X.500 – Information technology - Open Systems Interconnection - The Directory: Overview of concepts, models and services;

✓ X.501 – Information technology - Open Systems Interconnection - The Directory: Models;

✓ X.509 V.3 – Certificate Profile for Certificates Issued to Natural Persons;

✓ X.520 – Information technology - Open Systems Interconnection - The Directory: Selected attribute types;

c. Standardele PKCS ale RSA:

✓ PKCS#1 – RSA Cryptography Standard (http://tools.ietf.org/html/rfc3447; – See RFC 3447. Defines the mathematical properties and format of RSA public and private keys (ASN.1-encoded in clear-text), and the basic algorithms and encoding/padding schemes for performing RSA encryption, decryption, and producing and verifying signatures;

✓ PKCS#7 – Crypptographic Message Syntax Standard (folosit pentru a semna si/sau cripta mesajele sub un PKI); – See RFC 2315. Used to sign and/or encrypt messages under a PKI. Used also for certificate dissemination (for instance as a response to a PKCS#10 message). Formed the basis forS/MIME, which is as of 2010 based on RFC 5652, an updated Cryptographic Message Syntax Standard (CMS). Often used for single sign-on .

✓ PKCS#10 – Certification Request Syntax Standard (defineste formatul mesajelor trimise unei autoritati de certificare pentru a solicita certificarea unei chei publice); – See RFC 2986. Format of messages sent to a certification authority to request certification of a public key. See certificate signing request;

✓ PKCS#11 – Cryptographic Token Interface; – Also known as "Cryptoki". An API defining a generic interface to cryptographic tokens (see alsoHardware Security Module). Often used in single sign-on, Public-key cryptography and disk encryption[10] systems. Further development of the PKCS#11 standard has been turned over to the OASIS PKCS 11 Technical Committee.

✓ PKCS#12 – Personal Information Exchange Syntax Standard (defineste un format de fisier utilizat in mod obisnuit pentru stocarea cheilor private insotite de cheile publice ale certificatelor, protejat cu o cheie simetrica pe baza de parola). – Defines a file format commonly used to store private keys with accompanying public key certificates, protected with a password-based symmetric key. PFX is a predecessor to PKCS #12. This container format can contain multiple embedded objects, such as multiple certificates. Usually protected/encrypted with a password. Usable as a format for the Java key store and to establish client authentication certificates in Mozilla Firefox. Usable by Apache Tomcat.

d. Alte standarde:

✓ ETSI TS 102023 – Electronic Signatures and Infrastructures (ESI); Policy requirements for time-stamping authorities;

Pagina 80 din 86

✓ ETSI TS 102042 – Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates;

✓ ETSI TS 101456 – Electronic Signatures and Infrastructures (ESI); Policy and requirements for certification authorities issuing qualified certificates;

✓ ISO/IEC 11770-1 – Information technology - Security techniques - Key management - Part 1: Framework. (Tehnologia Informației – Tehnici de securitate – Gestionarea cheilor – Partea 1: cadrul de lucru);

✓ ISO/IEC 13335 – Information technology -- Security techniques -- Management of information and communications technology security. (Tehnologia Informației – Tehnici de securitate – Managementul securității în tehnologia informației și comunicațiilor);

✓ ISO/IEC 15408-1:2005 – Security techniques/Evaluation criteria for IT security/ Part 1: Introduction;

✓ ISO/IEC 15408-2:2005 – Security techniques/Evaluation criteria for IT security/ Part 2: Security functional requirements;

✓ ISO/IEC 15408-3:2005 – Security techniques/Evaluation criteria for IT security/ Part 3: Security assurance requirements;

✓ ISO/IEC 27001:20013 – Information technology – Security techniques – Information security management systems – Requirements. (Tehnologia Informației – Tehnici de securitate – Sisteme de management al securității informației – Cerințe);

✓ ISO/IEC 27002:20013 – Information technology – Security techniques – Information security management systems – Code of Practice for Information Security Management;

✓ FIPS 140-2 – Security Requirements for Cryptographic Modules. (Cerințe de securitate pentru modulele criptografice);

✓ CEN CWA 14167 – Security Requirements for Trustworthy Systems Managing certificates for Electronic Signatures;

✓ CC EAL 4+ – Common Criteria for Information Technology Security Evaluation (forme abreviate: Common Criteria sau CC) este un standard international (ISO/IEC 15408), utilizat pentru certificarea securității aplicațiilor, produselor și a sistemelor. Versiunea curentă este 3.1 cu revizia 4.

10. Definiții și acronime

10.1. Definiții

Abonat – este beneficiarul serviciilor de certificare menționat în câmpul Subject al certificatului digital emis pentru acesta în temeiul contractului încheiat cu AC care deţine o pereche funcţională cheie publică-cheie privată și care nu emite certificate altor entități.

Acces – posibilitatea utilizării unei resurse informaționale pe baza unui drept dobândit.

Administrare automată – procedura prin care cererile de eliberare de certificate se aprobă automat, dacă informația furnizată la înregistrare se verifică cu cea aflată în baza de date.

Pagina 81 din 86

Administrator – utilizator care este autorizat pentru a folosi conturi administrative sau privilegiate pentru a-și îndeplini sarcinile de serviciu. În general, administratorul are dreptul de gestiune asupra celorlalte tipuri de utilizatori.

Actualizarea de certificat – înainte de expirarea unui certificat, AC îl poate actualiza (sau înnoi) confirmând validitatea aceleiași perechi de chei pentru următoarea perioadă de validitate (în concordanță cu CP).

Audit de conformitate – evaluare și verificare periodică cu scopul de a testa măsura în care este suficient și adecvat managementul implementat pentru controlul sistemului, a verifica daca operațiile sistemului sunt îndeplinite în conformitate cu Politica de certificare acceptată și cu celelalte reglementări care decurg din ea, a descoperi posibilele breșe de securitate și de a recomanda modificarea corespunzătoare a măsurilor de control, a Politicii de certificare și procedurilor aferente.

A autentifica – a valida identitatea declarată a unei entități sau utilizator.

Autentificare – controale de verificare a autenticității unei persoane, înainte de a-i livra un tip de informații secrete; este un control de securitate, al cărui scop este de a oferi siguranța și increderea datelor transferate, mesajelor sau emitenților lor.

Autentificare manuală – procedura prin care cererile pentru certificate sunt revizuite și aprobate manual, una câte una, de către un administrator, prin utilizarea unei interfețe Web.

Autoritate de certificare – instituție de încredere care emite certificate conform cererilor eligibile. Pentru acest proces, AC verifică informațiile specificate de solicitant în cererile de emitere a certificatului.

Autoritate de înregistrare – instituție care este responsabilă cu identificarea și autentificarea subiectului unui certificat.

Cerere de emitere a unui certificat – document electronic care conține detalii cu privire la certificatele care urmează să fie create de către AC și inregistrate de către AI.

Certificat – colecție de date în format electronic care atestă legatura dintre datele de verificare a semnăturii electronice și o persoană, confirmând identitatea acelei persoane.

Certificat calificat – certificat eliberat de către un furnizor de servicii de certificare în condițiile prevăzute la art. 18 din Legea nr. 455/2001 privind semnătura electronică.

Certificat digital – act de identitate în format electronic, folosit pentru autentificarea și certificarea identității unui utilizator, în cazul accesarii unor resurse de la distanță.

Certificat revocat – certificat de cheie publică inclus în Lista Certificatelor Revocate.

Certificat valid – certificat de cheie publică emis de către o AC, acceptat de solicitant și care nu a fost supus procesului de revocare.

Pagina 82 din 86

Certificat de cheie publică – o structură de date care conține cel puțin numele sau identificatorul unei AC, identificatorul unui Abonat, cheia sa publică, perioada de validitate, numărul serial și cel asignat de către AC. Un certificat poate fi în una din cele trei stări fundamentale: în așteptarea activării, activ și inactiv.

Cheie privata – cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware si/sau software specializat. In contextul semnaturii digitale, cheia privată reprezintă datele de creare a semnăturii electronice, așa cum apar ele definite în lege.

Cheie publică – este un cod digital, perechea cheii private necesară verificării semnăturii electronice. În contextul semnăturii digitale, cheia publică reprezintă datele de verificare a semnăturii electronice, așa cum apar ele definite în lege.

Cod de Practici și Proceduri – document care reglementează activitatea de furnizare a serviciilor de certificare.

Colaborator – orice persoană care are o relație de angajament cu DigiSign în baza unui contract de colaborare semnat între persoană și DigiSign sau între DigiSign și compania pentru care lucrează persoana respectivă.

Compromitere – o încălcare a unei politici de securitate, care duce la pierderea controlului asupra unei informații cu caracter sensibil.

Confidențialitate – reprezintă un principiu de securitate, care restrânge accesul datelor doar la persoanele autorizate.

Control al accesului – limitarea și verificarea accesului la sistemele informatice cu scopul de a elimina utilizarea neautorizată a acestora.

Criptare – transformarea textului clar în text codificat cu scopul de a ascunde conținutul informațiilor pentru a preveni modificarea și utilizarea neautorizată a acestuia.

Cross-certificat – certificat de cheie publică emis unei AC, conținând nume diferite pentru emitent și subiect. Se indică în mod clar că certificatul aparține unei AC.

Cross-certificare (certificare încrucișată) – procedura de emitere a unui certificat, de către o AC, pentru o altă AC, care nu este direct sau indirect afiliată autorității emitente. De obicei, un cross-certificat este emis pentru a simplifica construirea și verificarea căilor de certificare care conțin certificate emise de diferite AC. Emiterea unui cross-certificat poate fi executată în baza unui acord reciproc între două AC, care își emit cross-certificate una alteia.

Datele auditului – înregistrările cronologice ale activității sistemului, care permit reconstituirea și analiza secvențelor de evenimente și modificările sistemului asociate evenimentelor înregistrate.

Pagina 83 din 86

Date în format electronic – reprezentarea informației într-o formă convențională adecvată creării, prelucrării, trimiterii, primirii sau stocării acesteia prin mijloace electronice.

Dispozitv de creare a semnăturii electronice – sisteme software și/sau hardware configurate, utilizate pentru a implementa datele de creare a semnăturii electronice.

Dovada de posesie a cheii private – informațiile trimise de un Abonat astfel încât să permită primitorului să verifice validitatea legăturii dintre expeditor și cheia sa privată, accesibilă numai expeditorului;

Entitate – termen folosit pentru a descrie un client. De exemplu, o entitate poate fi o companie, un trust sau o persoană fizică.

Entitate Parteneră reprezintă acea entitate care utilizează certificatul digital al unui Abonat pentru a verifica semnătura electronică asociată acestuia, în vederea acceptării sau respingerii respectivului certificat.

Firewall – reprezintă un echipament sau o serie de echipamente configurate astfel încât să asigure filtrarea, criptarea sau intermedierea traficului între domenii diferite de securitate pe baza unor reguli predefinite.

Furnizor de servicii de certificare – instituție de încredere (inclusiv dispozitivele hardware aflate sub controlul său) care furnizează servicii capabile să creeze, semneze și să emită certificate sau servicii de ne-repudiere.

Generator de chei – echipament criptografic folosit pentru generarea cheilor.

Identificator de obiect (OID) – identificator alfanumeric/numeric înregistrat în concordanță cu standardul ISO/IEC 9834 și care oferă unicitatea unui obiect specificat sau unicitatea clasei sale.

Incident de Securitate a Informației – eveniment declanșat accidental sau intenționat, care alterează informațiile și/sau echipamentele și care provoacă pierderea parțială sau completă a confidențialității/integrității informațiilor sau indisponibilitatea acestora.

Infrastructură de chei publice (PKI) – este o combinație de produse hardware și software, politici și proceduri care asigură securitatea de bază necesară astfel incât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranță. La baza PKI se află certificatele digitale, ce acționează asemenea unor pașapoarte electronice care mapează semnatura digitală a utilizatorului la cheia publică a acestuia. Aceste obiecte informaționale sunt cărămizile care stau la baza implementării PKI și reprezintă mijlocul de identificare digitală a fiecărui subiect participant într-o relație derulată prin mijloace electronice.

Listă de certificate Revocate (CRL) – listă emisă periodic sau imediat, semnată electronic de către o autoritate, permițând identificarea certificatelor care au fost revocate sau suspendate înainte de expirarea perioadei de validitate. CRL conține numele emitentului sau

Pagina 84 din 86

data publicării, data următoarei actualizări, numerele seriale ale certificatelor revocate sau suspendate precum și datele și motivele revocării sau suspendarii acestora.

Non-repudiere (ne-repudiere) – garanția faptului că cel care generează mesajul nu poate să îl denigreze mai târziu (asigurarea paternității mesajului).

Nume distinctiv (DN) – un set de atribute care formează un nume distinciv al unei entități și care o deosebește de alte entități de acelasi tip.

Pereche de chei – pereche complementară de chei de criptare generată de AC și formată dintr-o cheie privată și o cheie publică. Cheia publică este distribuită într-un certificat eliberat de către AC.

Perioadă de valabilitate – perioada cuprinsa între începutul și sfârșitul validității unui certificat sau perioada dintre data de începere a validității certificatului și momentul revocarii, suspendării sau expirării lui.

Persoană de încredere – angajat permanent sau temporar al DigiSign care deține drepturi de administrare a infrastructurii de încredere din cadrul DigiSign.

Politică de certificare – document sub forma unui set de reguli care sunt strict respectate de către o autoritate emitentă în timpul prestării serviciilor de certificare.

Politică de Securitate a Informației – politica ce stă la baza modului de abordare, de către DigiSign, a problemelor referitoare la Managementul Securității Informațiilor.

Revocarea unui certificat – definește procedurile privind revocarea unei perechi de chei valide (revocarea de certificat) în cazul în care accesul la perechea de chei trebuie restricționat pentru a preveni posibila utilizare a sa în criptarea sau crearea de semnătură electronică.

Securitatea informațiilor – păstrarea confidențialității, integrității și disponibilității informațiilor și asigurarea autenticității, responsabilității, non-repudierii și acurateții informației în scopul continuității afacerii, minimizării riscurilor și maximizării profitului operațional și a oportunităților de afaceri.

Semnatar – persoana specificată ca subiect al certificatului ce deține cheia privată aferentă cheii publice din certificat.

Semnătură electronică – semnătura electronică reprezinta date în formă electronică, care sunt atașate sau logic asociate cu alte date în formă electronică și care servesc ca și metodă de identificare. Din punct de vedere al semnificației, semnatura electronică este forma digitală a semnăturii olografe, fiind reflexia în spațiul virtual al acesteia. O semnătură electronică are aceleași funcționalitati și aplicabilități ca și semnătura olografă, și chiar mai mult decat atât, modul ei de utilizare recomandând-o din punct de vedere al securității și integrității;

Pagina 85 din 86

10.2. Abrevierile utilizate in prezentul document au următoarele semnificaţii:

AC – Autoritate de Certificare

ACP – Autoritate de Certificare Primară

AI – Autoritate de Înregistrare

AV – Autoritate de Validare

CISA – Control System Integrators Association

CRL – Certificate Revocation List

CP – Politica de Certificare DigiSign

CPP – Codul de Practici și Proceduri DigiSign

CSR – Certificate Signing Request

CSU – Cryptographic Signing Unit

DNS – Domain Name System

DoD – Departamentul de apărare al SUA

DSA – Digital Signature Algorithm (Algoritm de Semnătură Digitală)

FIPS – Federal Information Processing Standard (desemnează standarde federale emise de Institutul Naţional de Standarde şi Tehnologie din Statele Unite ale Americii)

HSM – Hardware Security Module

HTTP – Hyper Text Transfer Protocol

IMAP – Internet Message Access Protocol

ISACA – Information Systems Audit and Control Association

ISO – International Organization for Standardization

IT/IS – Internet Technologies and Information Systems

LAN – Local Area Network

LDAP – Lightweight Directory Access Protocol

ND – Nume Distinctiv

NTP – Network Time Protocol

OID – Object Identifier

OCSP – Online Certificate Status Protocol

PIN – Parolă

PKI – Public Key Infrastructure

POP3 – Post Office Protocol

RSA – Algoritm criptografic (algoritm de criptare cu cheie publică, dezvoltat de cercetătorii Rivest, Shamir şi Adleman)

SHA-1 – Funcție criptografică (Algoritm Securizat de Hash-code - funcţie care returnează amprenta unui document electronic)

SHA-2 – Funcție criptografică (Algoritm Securizat de Hash-code - funcţie care returnează amprenta unui document electronic)

SMTP – Simple Mail Transfer Protocol

SSL – Secure Sockets Layer

TCP/IP - Protocol de control al transmisiei/Protocol Internet

TLS – Transport Layer Security

Pagina 86 din 86

UPS – Uninterruptible Power Suply

WEB – World Wide Web

WTLS – Wireless Transport Layer Security

11. Actualizari:

Nr.crt Versiune in vigoare Data

1 1.0 01.06.2005

2 1.1 15.06.2005

3 1.2 01.08.2005

4 1.3 10.08.2005

5 1.4 01.10.2008

6 1.5 04.01.2010

7 1.6 12.07.2011

8 1.7 29.08.2011

9 1.8 22.09.2011

10 1.9 07.11.2011

11 2.0.0 12.12.2011

12 2.0.1 09.01.2012

13 2.0.2 13.03.2012

14 2.1.0 01.09.2015

15 2.1.1 03.11.2016