Certification Practice Statement - BancaIdentity

Transcript

Servizio di Certificazione Digitale
Certification Practice Statement
Distribuzione:
Codice documento:
PUBBLICA
ISP
Società
-
GSC
Servizio
-
311
Codice
- 2016
Anno
-
02
Versione
ISP-GSC-311-2016-02
STORIA DELLE MODIFICHE
Versione
01
02
Data emissione Descrizione delle modifiche
10/06/2015
Prima versione
10/06/2016
Aggiornamenti: Code Signing, Normativa
Il contenuto del presente documento è di proprietà di Intesa Sanpaolo S.p.A.
Tutti i diritti riservati.
Pagina ii
ISP-GSC-311-2016-02
SOMMARIO
1. GENERALITÀ ....................................................................................................................... 7
1.1 Scopo del documento .................................................................................................. 7
1.2 Riferimenti alle norme di legge ................................................................................... 7
1.3 Riferimenti agli standard ............................................................................................. 7
1.4 Definizioni e acronimi .................................................................................................. 8
2. INTRODUZIONE .................................................................................................................. 9
2.1 Dati identificativi del Certificatore .............................................................................. 9
2.2 Dati identificativi e versione del documento ............................................................... 9
2.3 Partecipanti alla PKI .................................................................................................... 10
2.3.1 Certification Authorities ...............................................................................................10
2.3.2 Registration Authorities ...............................................................................................10
2.3.3 Utenti Finali (Titolari) ..................................................................................................11
2.3.4 Relying Parties ............................................................................................................11
2.4 Uso dei Certificati ........................................................................................................ 11
2.5 Amministrazione del CPS ............................................................................................. 11
3. PUBBLICAZIONE E REGISTRO DEI CERTIFICATI ............................................................... 12
3.1 Registro dei Certificati ................................................................................................. 12
3.2 Informazioni Pubblicate .............................................................................................. 12
3.3 Frequenza delle Pubblicazioni ..................................................................................... 12
3.4 Modalità di accesso al Registro dei Certificati ............................................................. 12
4. IDENTIFICAZIONE E AUTENTICAZIONE ............................................................................. 13
4.1 Naming......................................................................................................................... 13
4.1.1 Tipologie di Nomi ........................................................................................................13
4.1.2 Nome della CA ............................................................................................................13
4.1.3 Nome del Titolare .......................................................................................................13
4.2 Modalità di identificazione e registrazione degli utenti .............................................. 13
4.2.1 Identificazione dei richiedenti ......................................................................................14
4.2.2 Verifiche svolte dal Certificatore in fase di registrazione .................................................14
4.2.2.1 Meccanismo di pre-autorizzazione per certificati SSL/TLS ................................14
4.3 Identificazione e Autenticazione per le richieste di rinnovo ....................................... 15
4.3.1 Identificazione e autenticazione per rinnovo ordinario ...................................................15
4.3.2 Identificazione e autenticazione per rinnovo a seguito di revoca ....................................15
4.3.3 Identificazione e autenticazione per le richieste di revoca ..............................................15
5. REQUISITI OPERATIVI PER LA GESTIONE DEI CERTIFICATI ............................................ 16
5.1 Richiesta dei certificati ................................................................................................ 16
5.2 Elaborazione delle richieste dei certificati ................................................................... 16
5.3 Emissione dei certificati ............................................................................................... 16
5.3.1 Operazioni effettuate dalla CA .....................................................................................16
5.3.2 Notifica al Titolare .......................................................................................................16
5.4 Accettazione dei certificati .......................................................................................... 16
5.4.1 Criteri di accettazione dei certificati ..............................................................................16
5.4.2 Pubblicazione dei certificati da parte della CA ...............................................................17
5.5 Utilizzo della coppia di chiavi e dei certificati.............................................................. 17
5.5.1 Utilizzo da parte del Titolare ........................................................................................17
5.5.2 Utilizzo da parte delle Relying Parties ...........................................................................17
Pagina iii
ISP-GSC-311-2016-02
5.6 Rinnovo dei certificati .................................................................................................. 17
5.7 Rigenerazione delle chiavi ........................................................................................... 17
5.8 Modifica dei Certificati ................................................................................................. 17
5.9 Revoca dei Certificati ................................................................................................... 18
5.9.1 Circostanze per la revoca del certificato ........................................................................18
5.9.2 Soggetti che possono richiedere la revoca ....................................................................18
5.9.3 Procedura di revoca per richiesta del Titolare................................................................18
5.9.4 Procedura di revoca per richiesta della CA ....................................................................18
5.9.5 Grace Period delle richieste di revoca ...........................................................................19
5.9.6 Requisiti per la verifica della validità dei Certificati ........................................................19
5.9.7 Frequenza di pubblicazione della CRL ...........................................................................19
5.9.8 Latenza massima per la CRL ........................................................................................19
5.9.9 Disponibilità del servizio di verifica on-line dello stato dei Certificati ...............................19
5.9.10 Requisiti per la verifica on-line dello stato dei Certificati ................................................19
5.10 Servizi informativi sullo stato dei Certificati ........................................................... 19
5.10.1 Caratteristiche Operative .............................................................................................19
5.10.2 Disponibilità del servizio ..............................................................................................20
5.11
Cessazione del contratto ......................................................................................... 20
5.12
Key escrow e key recovery ...................................................................................... 20
6. CONTROLLI OPERATIVI, GESTIONALI E DI FACILITY ....................................................... 21
6.1 Controlli di Sicurezza Fisica ......................................................................................... 21
6.1.1 Ubicazione e Costruzione .............................................................................................21
6.1.2 Controlli di Accesso Fisico ............................................................................................21
6.1.3 Gruppi di Continuità e Sistemi di Condizionamento ........................................................21
6.1.4 Prevenzione da allagamenti .........................................................................................21
6.1.5 Prevenzione antincendio ..............................................................................................21
6.1.6 Dismissione dei rifiuti ..................................................................................................21
6.1.7 Backup Off-Site...........................................................................................................21
6.2 Controlli Procedurali .................................................................................................... 22
6.2.1 Definizione dei ruoli ....................................................................................................22
6.2.2 Numerosità del personale richiesto per attività ..............................................................22
6.2.3 Identificazione e Autenticazione per ciascun Ruolo ........................................................22
6.2.4 Ruoli per cui è richiesta la separazione dei Compiti .......................................................22
6.3 Controlli sul Personale ................................................................................................. 22
6.3.1 Qualifiche ed esperienza del personale .........................................................................22
6.3.2 Verifiche sulla qualità del personale .............................................................................22
6.3.3 Requisiti per la Formazione del Personale .....................................................................23
6.3.4 Frequenza di erogazione della Formazione ...................................................................23
6.3.5 Job Rotation ...............................................................................................................23
6.3.6 Sanzioni a seguito di azioni non autorizzate ..................................................................23
6.3.7 Requisiti per Enti Terzi ................................................................................................23
6.3.8 Documentazione fornita al personale............................................................................23
6.4 Procedure di Logging ................................................................................................... 23
6.4.1 Tipologia di eventi registrati ........................................................................................23
6.4.2 Frequenza di elaborazione dei log ................................................................................23
6.4.3 Periodo di conservazione dei log di audit ......................................................................24
6.4.4 Protezione dei log di audit ...........................................................................................24
6.4.5 Procedure di backup dei log di audit.............................................................................24
6.4.6 Vulnerability Assessment .............................................................................................24
6.5 Archiviazione dei dati .................................................................................................. 24
6.5.1 Tipologie di informazioni archiviate ..............................................................................24
6.5.2 Periodo di conservazione dei dati archiviati ...................................................................24
6.5.3 Protezione dell’archivio ................................................................................................24
Pagina iv
ISP-GSC-311-2016-02
6.5.3.1 Persone che possono accedere all’archivio ......................................................24
6.5.3.2 Protezione dell’integrità dell’archivio ...............................................................24
6.5.3.3 Protezione dell’archivio dalla cancellazione .....................................................24
6.5.3.4 Protezione dell’archivio dal deterioramento .....................................................24
6.5.3.5 Protezione dell’archivio dall’obsolescenza .......................................................24
6.5.4 Procedure di backup dell’archivio .................................................................................25
6.5.5 Procedure per accedere e verificare le informazioni dell’Archivio ....................................25
6.6 Rinnovo delle chiavi della CA ....................................................................................... 25
6.6.1 Rinnovo chiavi Enterprise CA .......................................................................................25
6.7 Compromissione e Disaster Recovery ......................................................................... 25
6.7.1 Procedure di gestione degli incidenti ............................................................................25
6.7.2 Procedure di recovery in caso di compromissione di Risorse, Software o Dati .................25
6.7.3 Procedure di gestione dei casi di compromissione delle chiavi del Certificatore ................25
6.7.3.1 Compromissione dei dispositivi utilizzati per erogare i servizi di certificazione ...25
6.7.3.2 Compromissione della chiave privata del Certificatore .....................................26
6.7.4 Processo di Business Continuity a seguito di disastro .....................................................26
6.8 Cessazione della CA ..................................................................................................... 26
7. MISURE TECNICHE DI SICUREZZA ..................................................................................... 27
7.1 Generazione delle Chiavi ............................................................................................. 27
7.1.1 Enterprise CA .............................................................................................................27
7.1.2 Titolari .......................................................................................................................27
7.2 Distribuzione della chiave pubblica ............................................................................. 27
7.2.1 Enterprise CA .............................................................................................................27
7.2.2 Titolari .......................................................................................................................27
7.3 Lunghezza delle chiavi ................................................................................................. 27
7.3.1 Enterprise CA .............................................................................................................27
7.3.2 Titolari .......................................................................................................................27
7.4 Parametri di generazione e qualità delle chiavi .......................................................... 28
7.4.1 Enterprise CA .............................................................................................................28
7.4.2 Titolari .......................................................................................................................28
7.5 Key Usage (estensione X.509 v3) ................................................................................ 28
7.5.1 Enterprise CA .............................................................................................................28
7.5.2 Titolari .......................................................................................................................28
7.6 Protezione della chiave privata ................................................................................... 28
7.6.1 Enterprise CA .............................................................................................................28
7.6.2 Titolari .......................................................................................................................28
7.7 Standard di sicurezza dei moduli crittografici ............................................................. 28
7.8 Multi-Person Control (N di M) della chiave privata ..................................................... 28
7.8.1 Enterprise CA .............................................................................................................28
7.8.2 Titolari .......................................................................................................................29
7.9 Escrow della chiave privata ......................................................................................... 29
7.10 Backup della chiave privata .................................................................................... 29
7.10.1 Enterprise CA .............................................................................................................29
7.10.2 Titolari .......................................................................................................................29
7.11 Archiviazione della chiave privata........................................................................... 29
7.11.1 Enterprise CA .............................................................................................................29
7.11.2 Titolari .......................................................................................................................29
7.12 Trasferimento della chiave privata da/al Modulo Crittografico .............................. 29
7.12.1 Enterprise CA .............................................................................................................29
7.12.2 Titolari .......................................................................................................................29
7.13 Metodi di attivazione della chiave privata .............................................................. 29
7.13.1 Enterprise CA .............................................................................................................29
Pagina v
ISP-GSC-311-2016-02
7.13.2 Titolari .......................................................................................................................29
7.14 Metodi di disattivazione della chiave privata .......................................................... 30
7.14.1 Enterprise CA .............................................................................................................30
7.14.2 Titolari .......................................................................................................................30
7.15 Metodi di dismissione della chiave privata ............................................................. 30
7.15.1 Enterprise CA .............................................................................................................30
7.15.2 Titolari .......................................................................................................................30
7.16 Archiviazione delle chiavi pubbliche ....................................................................... 30
7.16.1 Enterprise CA .............................................................................................................30
7.16.2 Titolari .......................................................................................................................30
7.17 Periodo di utilizzo delle chiavi ................................................................................. 30
7.17.1 Enterprise CA .............................................................................................................30
7.17.2 Titolari .......................................................................................................................30
7.18 Generazione e installazione dei dati di attivazione ................................................ 30
7.18.1 Enterprise CA .............................................................................................................30
7.18.2 Titolari .......................................................................................................................31
7.19 Protezione dei dati di attivazione ........................................................................... 31
7.19.1 Enterprise CA .............................................................................................................31
7.19.2 Titolari .......................................................................................................................31
7.20
Misure di sicurezza dei sistemi ................................................................................ 31
7.21
Misure di sicurezza di rete ...................................................................................... 31
7.22
Time-Stamping ........................................................................................................ 31
8. PROFILI DI CERTIFICATI, CRL E OCSP .............................................................................. 32
8.1 Profili dei certificati ..................................................................................................... 32
8.1.1 Enterprise CA .............................................................................................................32
8.1.2 Titolari .......................................................................................................................32
8.1.2.1 Certificati SSL ...............................................................................................32
8.1.2.2 Certificati di Code Signing .............................................................................33
8.1.2.3 Certificati di Client Authentication ..................................................................34
8.2 Profilo della CRL .......................................................................................................... 34
8.2.1 Versione .....................................................................................................................35
8.2.2 Estensioni delle CRL e delle entry .................................................................................35
8.3 Profilo OCSP ................................................................................................................. 35
9. VERIFICHE DI CONFORMITÀ .............................................................................................. 36
9.1 Frequenza e circostanze dalle verifiche ....................................................................... 36
9.2 Identità e qualificazione degli ispettori ....................................................................... 36
9.3 Relazioni tra i soggetti esaminati e gli ispettori .......................................................... 36
9.4 Argomenti coperti dalle verifiche ................................................................................ 36
9.5 Azioni conseguenti alle non conformità ...................................................................... 37
9.6 Comunicazione dei risultati ......................................................................................... 37
10. CONDIZIONI GENERALI DI SERVIZIO ............................................................................. 38
Pagina vi
ISP-GSC-311-2016-02
1.
GENERALITÀ
1.1
Scopo del documento
Questo documento è il Certification Practice Statement relativo al servizio erogato da Intesa Sanpaolo
S.p.A. per l’emissione e la gestione delle seguenti tipologie di certificati digitali:

Code Signing;

Web Server (SSL e TLS);

Client Authentication.
Questo documento è redatto ai fini delle norme vigenti e la sua scrittura è conforme a quanto indicato
nell’RFC 3647.
Il documento sarà soggetto a revisione periodica al fine di curarne l’allineamento ad eventuali cambiamenti
normativi interni ed esterni, nonchè all’aggiornamento degli standard internazionali di riferimento. Inoltre, è
disponibile online h24*7.
1.2
Riferimenti alle norme di legge
[DPCM 22/02/13]
1.3
Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4,
28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71 del CAD.
Riferimenti agli standard
[LDAP2]
W. Yeong, T. Howes, S. Kille, "Lightweight Directory Access Protocol", Internet RFC 1777,
March 1995.
[PKCS7]
B. Kaliski, “PKCS#7: Cryptographic Message Syntax Version 1.5”, Internet RFC 2315, March
1998.
[PKCS8]
S. Turner, “Asymmetric Key Packages”, Internet RFC 5958, August 2010.
[PKCS10]
B. Kaliski, "PKCS#10: Certification Request Syntax - Version 1.5", Internet RFC 2314, March
1998.
[SHA256]
ISO/IEC 10118-3:1998, "Information technology - Security techniques - Hash-functions - Part 3:
Dedicated hash-functions", May 1998.
[X500]
ISO/IEC 9594-1: 2005 “Information technology — Open Systems Interconnection — The Directory: Overview of concepts, models and services”.
[X509]
ISO/IEC 9594-8: 2005 “Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks”.
[RFC6960] Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP, JUNE 2013 – M.
Myers, R. Ankney, A. Malpani, S. Galperin and C. Adams.
[RFC3647] Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework
- S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, November 2003.
Pag. 7 di 38
ISP-GSC-311-2016-02
[RFC5280] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
- Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, May 2008.
[WebTrust] Internet WebTrust Program for Certification Authorities.
[CABForum] Internet CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates Verification.
1.4
Definizioni e acronimi
Il seguente elenco riporta il significato di acronimi e abbreviazioni usate in questo documento:
Agenzia
Agenzia per l’Italia Digitale, già DigitPA
APDU
Application Protocol Data Units
CRL
Certificate Revocation List
CSR
Certificate Signing Request
HTTP
HyperText Transfer Protocol
HSM
Hardware Security Module
LDAP
Lightweight Directory Access Protocol
OCSP
Online Certificate Status Protocol
PKCS
Public Key Cryptography Standard
PKI
Public Key Infrastructure
RFC
Request For Comments
SHA
Secure Hash Algorithm
SSL
Secure Sockets Layer
Pag. 8 di 38
ISP-GSC-311-2016-02
2.
INTRODUZIONE
Il Certificatore Intesa Sanpaolo S.p.A., nell’ambito dei servizi offerti alle Società del Gruppo, include
l’emissione e la gestione delle seguenti tipologie di certificati digitali:

Code Signing;

Web Server (SSL e TLS);

Client Authentication.
Il presente documento ha lo scopo di esplicitare le procedure e le misure messe in atto dal Certificatore per
garantire l’affidabilità dei certificati rilasciati, con particolare riferimento ai seguenti aspetti:
 le modalità di identificazione e registrazione dei Titolari;
 le modalità di generazione e gestione delle chiavi crittografiche e dei Certificati;
 le modalità operative con le quali il Certificatore opera.
I Certificati emessi dalla Certification Authority oggetto del presente CPS sono conformi ai requisiti espressi
dal “CA/Browser Forum”, formalizzati all’interno del documento “Baseline Requirements for the Issuance and
Management of Publicly-Trusted Certificates”.
2.1
Dati identificativi del Certificatore
Il servizio di certificazione è erogato dall’organizzazione identificata come segue:
Denominazione sociale:
Indirizzo della sede legale:
Legale rappresentante:
N° di iscrizione al Registro delle Imprese di
Torino:
N° di Partita IVA:
ISO Object Identifier (OID):
Sito web generale (informativo):
Sito web del servizio di certificazione:
2.2
Intesa Sanpaolo S.p.A.
Piazza San Carlo, 156 10121 Torino
Carlo Messina, Consigliere Delegato e CEO
R.E.A. n. 00799960158
10810700152
1.3.6.1.4.1.20052.3.1.1
www.intesasanpaolo.com
http://ca.intesasanpaolo.com/portalCais0/cps/cps
2048.htm
Dati identificativi e versione del documento
Il presente documento, denominato Certification Practice Statement, è individuato dal codice di documento
ISP-GSC-311-2015-01 (riportato anche sul frontespizio) e dall'OID seguente: 1.3.6.1.4.1.20052.3.1.1.
Questo documento è pubblicato sul sito Web del Certificatore ed è quindi consultabile telematicamente (ai
sensi delle norme in vigore).
Pag. 9 di 38
ISP-GSC-311-2016-02
2.3
Partecipanti alla PKI
Il presente CPS si applica ai partecipanti specificati nei seguenti paragrafi, con riferimento agli aspetti relativi
al personale, ai dispositivi hardware, ai software operativi e applicativi e agli ambienti fisici presso cui vengono erogati e utilizzati i servizi di certificazione.
Le indicazioni riportate nel presente documento:
-
sono da considerarsi come i requisiti minimi necessari ad assicurare che i titolari e le Relying Parties abbiano il massimo livello di garanzia sull’affidabilità dei certificati emessi dal Certificatore e che i processi
relativi alla creazione e gestione degli stessi siano eseguiti in conformità ad adeguati standard di sicurezza;
-
si applicano a tutti gli stakeholder coinvolti nella generazione, emissione, utilizzo e gestione dei certificati
digitali.
2.3.1
Certification Authorities
La Certification Authority (CA) ha lo scopo di fornire i servizi di gestione dei certificati digitali (creazione, utilizzo, revoca, scadenza, rinnovo), emettendo gli stessi e firmandoli con la propria chiave privata al fine di
garantirne l’autenticità.
L’infrastruttura adottata si basa su una PKI dedicata composta da una Enterprise CA subordinata alla root CA
“Baltimore Cybertrust Root” di Verizon.
Nell’ambito dei servizi descritti nel presente CPS, il ruolo di CA è assegnato a Intesa Sanpaolo S.p.A., che si
avvale di Intesa Sanpaolo Group Services S.c.p.A (società consortile del Gruppo Intesa Sanpaolo) per la gestione dell’infrastruttura informatica a supporto dell’erogazione dei servizi di Certification Authority.
2.3.2
Registration Authorities
Lo scopo della Registration Authority (RA) è quello di raccogliere e validare le richieste di emissione dei certificati, autenticare l’identità dei soggetti richiedenti e autorizzare o respingere le richieste stesse.
La RA ha inoltre la responsabilità di consegnare i certificati digitali ai richiedenti.
Il ruolo di RA è assegnato a Intesa Sanpaolo Group Services S.c.p.A e i servizi di Registration Authority vengono erogati tramite il portale servizi della Direzione Sistemi Informativi.
Pag. 10 di 38
ISP-GSC-311-2016-02
2.3.3
Utenti Finali (Titolari)
Gli Utenti Finali (Titolari) sono le società o le strutture aziendali del Gruppo che richiedono un certificato per
Web server (SSL/TLS), client authentication o Code Signing, utilizzabile per i servizi / sistemi di propria competenza.
Le richieste dei certificati possono essere effettuate direttamente dal titolare o da una persona/struttura
aziendale da esso delegata (es. responsabili dello sviluppo applicativo).
2.3.4
Relying Parties
Nell’ambito del presente CPS, le Relying Parties sono rappresentate dai seguenti soggetti:
-
in caso di certificati SSL per web server, sono gli utenti che accedono al sito e che fanno affidamento alle
informazioni del certificato per accertarne l’autenticità;
-
in caso di certificati di client authentication, sono gli owner dei sistemi/servizi che utilizzano le informazioni del certificato per accertare l’autenticità delle postazioni client che si connettono agli stessi;
-
in caso di certificati di code signing, sono gli utilizzatori del software firmato, che usano le informazioni
del certificato per verificare l’autenticità e l’integrità del codice.
2.4
Uso dei Certificati
I certificati rilasciati in conformità al presente CPS possono essere impiegati per i seguenti utilizzi:
-
certificati SSL: attivazione del protocollo TLS/SSL per la connessione a siti web;
-
client authentication: attivazione del protocollo TLS/SSL per l’autenticazione di postazioni client a servizi/sistemi aziendali;
-
code signing: firma digitale del codice, al fine di garantirne l’autenticità e l’integrità.
Intesa Sanpaolo declina ogni responsabilità per qualsiasi altro uso dei certificati emessi dalla propria Certification Authority.
La CA non è inoltre responsabile per certificati non emessi e non gestiti secondo quanto indicato nel presente documento.
2.5
Amministrazione del CPS
Il presente Certification Practice Statement è redatto, pubblicato e aggiornato almeno annualmente sotto la
responsabilità di:
Intesa Sanpaolo S.p.A.
Piazza San Carlo, 156
10121 Torino (ITALY)
Pag. 11 di 38
ISP-GSC-311-2016-02
3.
3.1
PUBBLICAZIONE E REGISTRO DEI CERTIFICATI
Registro dei Certificati
Intesa Sanpaolo S.p.A. gestisce in proprio ed è direttamente responsabile del registro dei certificati, nel quale sono pubblicate informazioni relative ai certificati digitali e ai relativi servizi di emissione e gestione da parte del Certificatore.
Il Registro dei Certificati è costituito da una copia di riferimento, inaccessibile dall’esterno e risiedente su un
sistema sicuro installato in locali protetti, e da più copie operative liberamente accessibili attraverso la rete
Internet e risiedenti in una DMZ protetta da firewall.
3.2
Informazioni Pubblicate
Nel registro dei certificati vengono pubblicati i seguenti oggetti:
1. il presente Certification Practice Statement;
2. il certificato della CA;
3. la lista dei certificati revocati (CRL).
3.3
Frequenza delle Pubblicazioni
Il CPS viene pubblicato nel Registro dei Certificati alla conclusione del processo di approvazione dello stesso
e in occasione di ogni successivo aggiornamento.
La CRL viene generata e pubblicata secondo quanto dettagliato nel paragrafo 5.9.7.
3.4
Modalità di accesso al Registro dei Certificati
La copia di riferimento del registro dei Certificati è resa inaccessibile dall’esterno e risiede su un sistema sicuro installato in locali protetti. Le copie operative sono invece liberamente accessibili attraverso la rete Internet, limitatamente alla sola operazione di lettura.
Lo svolgimento delle operazioni che modificano il contenuto del registro dei certificati è possibile solo per il
personale espressamente autorizzato. In ogni caso, tutte le operazioni che modificano il contenuto del registro dei certificati vengono tracciate nel giornale di controllo.
Il registro dei certificati è accessibile tramite protocollo LDAP (solo all’interno dell’infrastruttura). In aggiunta
la lista dei certificati sospesi o revocati è pubblicata anche tramite protocollo http.
Pag. 12 di 38
ISP-GSC-311-2016-02
4.
IDENTIFICAZIONE E AUTENTICAZIONE
4.1
4.1.1
Naming
Tipologie di Nomi
I nomi del titolare dei certificati e dell’ente emittente sono registrati come Distinguished Name nei campi
subject e issuer del certificato.
4.1.2
Nome della CA
Il nome della CA è registrato nel campo subject del certificato della stessa. In particolare il campo contiene i
seguenti attributi:
 Organization Name, contenente “Intesa Sanpaolo S.p.A”;
 Common Name, contenente “Intesa Sanpaolo CA Servizi Esterni Enhanced”;
 Country Name, contenente “IT”;
4.1.3
Nome del Titolare
Il nome del titolare, registrato nel campo subject dei certificati, contiene i seguenti attributi:
 Country Name, contenente “IT”;
 Organization Name, contenente la denominazione ufficiale dell’ente titolare del certificato;
 Common Name, contenente:
-
in caso di certificati di “Web Server”, l’FQDN del server/servizio per cui viene richiesto il certificato;
-
in caso di certificati di “Client Authentication”, l’FQDN del client per cui viene richiesto il certificato;
-
in caso di certificati di “Code Signing”, un’indicazione non ambigua dello scopo del certificato e del
software firmato con lo stesso.
Nel caso di certificati di “Web Server”, è inoltre presente l’attributo Subject Alternative Name Extension, contenente il Fully Qualified Domain Name (FQDN) o l’indirizzo IP del web server stesso (non sono ammessi indirizzi IP privati).
Nel caso di certificati di “Client Authentication”, è inoltre presente l’attributo Subject Alternative Name Extension contenente il Fully Qualified Domain Name (FQDN) o l’indirizzo IP del client stesso.
4.2
Modalità di identificazione e registrazione degli utenti
La procedura di identificazione e registrazione dei titolari che richiedono il primo rilascio di un certificato digitale si articola nelle seguenti fasi:
 sottomissione della richiesta tramite il portale servizi della Direzione Sistemi Informativi di Intesa Sanpaolo Group Services;
 verifica delle informazioni fornite e accettazione o rifiuto della richiesta.
Nel seguito della presente sezione si descrivono i dettagli della procedura.
Pag. 13 di 38
ISP-GSC-311-2016-02
4.2.1
Identificazione dei richiedenti
Le richieste di rilascio di certificati digitali possono essere effettuate solo da persone che hanno instaurato un
rapporto di lavoro o collaborazione con Intesa Sanpaolo Group Services.
L’identificazione viene effettuata de visu all’inizio del rapporto con Intesa Sanpaolo Group Services e, successivamente alla stessa, all’utente vengono consegnate le credenziali di accesso al sistema informativo aziendale.
Al fine di poter effettuare le richieste di certificati digitali tramite il Portale Servizi della Direzione Sistemi Informativi, all’utente deve inoltre essere fornita una specifica abilitazione, richiesta dal proprio referente
aziendale e assegnata dalla struttura interna di sicurezza.
Una volta in possesso delle credenziali di accesso e delle opportune abilitazioni, gli utenti possono richiedere
il rilascio di certificati digitali accedendo alla rete di Intesa Sanpaolo Group Services, autenticandosi al Portale
Servizi della Direzione Sistemi Informativi e compilando il relativo modulo on-line.
In particolare, all’interno del modulo di richiesta l’utente deve specificare le seguenti informazioni:
 Referente Applicativo;
 Server Name;
 Dominio di Responsabilità;
 Prodotto;
 Piattaforma;
 Servizio/Applicazione;
 Codice Applicazione/Contesto;
 Installazione su sistemi finali o reverse proxy;
 Email destinatari aggiuntivi;
Tutte le informazioni sopra elencate sono da considerarsi obbligatorie ai fini della registrazione dell'utente e
del rilascio del certificato, e vengono memorizzate in un apposito database (“database di registrazione”).
4.2.2
Verifiche svolte dal Certificatore in fase di registrazione
A fronte della richiesta di registrazione, l’operatore di Registration Authority svolge le seguenti verifiche:
1. Verifica che la CSR sia formalmente corretta sulla base dei dati inseriti
Se le verifiche descritte si concludono positivamente, l’operatore attiva il processo di emissione del certificato
digitale.
4.2.2.1
Meccanismo di pre-autorizzazione per certificati SSL/TLS
La Registration Authority ha attivato un meccanismo di pre-autorizzazione che consente agli utenti la richiesta di certificati digitali di tipo SSL/TLS (Web server authentication) solo limitatamente ad un elenco di domini predefinito, mantenuto dalla RA stessa.
In particolare, tale elenco contiene i soli domini registrati presso ICANN a nome di una Società del Gruppo
Intesa Sanpaolo e viene mantenuto aggiornato coerentemente con le operazioni di registrazione e di cancellazione dei domini stessi.
Pag. 14 di 38
ISP-GSC-311-2016-02
4.3
4.3.1
Identificazione e Autenticazione per le richieste di rinnovo
Identificazione e autenticazione per rinnovo ordinario
La Certification Authority, in prossimità della data di scadenza di un certificato (30 giorni prima e successivamente ogni settimana fino alla scadenza), invia una notifica al relativo Titolare e a tutte le terze parti interessate, segnalando la necessità di rinnovarlo qualora lo stesso sia ancora in uso sui sistemi informativi.
Il processo di rinnovo ordinario di un certificato digitale consiste nell’emissione di un nuovo certificato basato
sulla Certificate Signing Request originale e contenente le medesime informazioni di quello originale.
Le modalità di identificazione e autenticazione in caso di rinnovo ordinario coincidono con quelle previste per
il primo rilascio del certificato.
4.3.2
Identificazione e autenticazione per rinnovo a seguito di revoca
Il processo di rinnovo di un certificato a seguito di revoca consiste nella generazione di una nuova coppia di
chiavi di cifratura e nell’emissione di un nuovo certificato. I dati riportati nel certificato possono differire da
quelli originali qualora la revoca sia avvenuta a causa di incorrettezza o aggiornamento degli stessi.
Le modalità di identificazione e autenticazione per il rinnovo del certificato a seguito di revoca coincidono con
quelle previste per il primo rilascio.
4.3.3
Identificazione e autenticazione per le richieste di revoca
La richiesta di revoca di un certificato digitale può avvenire secondo una delle seguenti modalità:
 Portale Servizi delle Direzione Sistemi Informativi: in tal caso le modalità di identificazione e autenticazione coincidono con quelle previste per il primo rilascio.
 E-mail aziendale: [email protected]
Pag. 15 di 38
ISP-GSC-311-2016-02
5.
5.1
REQUISITI OPERATIVI PER LA GESTIONE DEI CERTIFICATI
Richiesta dei certificati
La richiesta di un certificato digitale viene effettuata tramite il Portale Servizi della Direzione Sistemi Informativi.
In particolare la procedura prevede la compilazione di un modulo on-line in cui devono essere specificate le
informazioni indicate nel paragrafo 4.2.1. Il richiedente si assume la responsabilità della correttezza delle informazioni riportate.
A seguito dell’invio del modulo, la richiesta viene presa in carico dalla Registration Authority.
5.2
Elaborazione delle richieste dei certificati
La Registration Authority, a seguito della presa in carico della richiesta di un certificato, provvede a censire il
richiedente nel database di registrazione e ad effettuare le verifiche descritte nel paragrafo 4.2.2.
Sulla base delle verifiche effettuate, l’operatore di Registration Authority approva o rifiuta la richiesta di rilascio del certificato.
5.3
5.3.1
Emissione dei certificati
Operazioni effettuate dalla CA
In caso di approvazione della richiesta di rilascio, la Certification Authority provvede ad effettuare le seguenti
operazioni:
 Firma della CSR
 Emissione della chiave pubblica
 Notifica di avvenuto rilascio
5.3.2
Notifica al Titolare
A seguito dell’avvenuta firma della richiesta di emissione di un certificato, il richiedente riceve notifica
dell’avvenuta emissione del certificato.
E’ quindi responsabilità del richiedente accedere al portale della Registration Authority e procedere al download della chiave pubblica.
5.4
5.4.1
Accettazione dei certificati
Criteri di accettazione dei certificati
Il richiedente deve verificare la correttezza dei dati riportati nel certificato e richiedere la revoca dello stesso
in caso di riscontro di inesattezze.
Pag. 16 di 38
ISP-GSC-311-2016-02
5.4.2
Pubblicazione dei certificati da parte della CA
La CA effettua la pubblicazione dei soli certificati per le chiavi del Certificatore.
5.5
5.5.1
Utilizzo della coppia di chiavi e dei certificati
Utilizzo da parte del Titolare
Il Titolare deve utilizzare la coppia di chiavi dei certificati per le seguenti finalità:
 Code Signing – firmare digitalmente il codice di proprietà;
 Web Server (SSL e TLS) – abilitare il protocollo SSL/TLS per le connessioni verso i propri siti web, al fine
di consentire l’autenticazione lato server e la cifratura del traffico scambiato;
 Client Authentication – consentire l’autenticazione lato client per la connessione di postazioni utente a siti
web, server e reti informatiche.
Qualsiasi altro utilizzo della coppia di chiavi e del certificato non è ammesso.
5.5.2
Utilizzo da parte delle Relying Parties
Le Relying Parties utilizzano il certificato digitale per le seguenti finalità:
 Code Signing – verificare l’autenticità e l’integrità del codice eseguibile;
 Web Server (SSL e TLS) – verificare l’autenticità dei siti web e abilitare la cifratura del traffico scambiato;
 Client Authentication – verificare l’autenticità delle postazioni utente che si collegano ai propri siti web,
server e reti informatiche.
Le Relying Parties hanno inoltre responsabilità di consultare la CRL pubblicata dalla CA al fine di verificare la
validità dei certificati emessi.
5.6
Rinnovo dei certificati
I certificati digitali cessano di essere attivi al raggiungimento della data di scadenza riportata sugli stessi o a
seguito di operazioni di revoca e, qualora sia ancora necessario il loro utilizzo, occorre procedere al relativo
rinnovo.
5.7
Rigenerazione delle chiavi
La rigenerazione delle chiavi di cifratura comporta sempre l’emissione di un nuovo certificato digitale da associare alle stesse.
Il processo di emissione del certificato e generazione della coppia di chiavi di cifratura è il medesimo di quello previsto in caso di primo rilascio.
5.8
Modifica dei Certificati
La modifica dei certificati non è prevista dal Certificatore. Ogni cambiamento alle informazioni in esso contenute comporta la generazione di una nuova coppia di chiavi e l’emissione di un nuovo certificato ad essa associato.
Pag. 17 di 38
ISP-GSC-311-2016-02
L’emissione di un nuovo certificato comporta sempre la revoca di quello precedentemente rilasciato al Titolare.
5.9
Revoca dei Certificati
La revoca del certificato comporta la cessazione permanente della validità dello stesso, a partire da una data
e ora prefissata.
La revoca comporta l’inclusione del numero di serie del certificato oggetto dell’operazione all’interno della
CRL e la successiva pubblicazione della stessa.
5.9.1
Circostanze per la revoca del certificato
Il Certificatore procede alla revoca del certificato nelle seguenti circostanze:
 perdita del controllo della chiave privata da parte del Titolare, derivante dall’accadimento di uno o più dei
seguenti eventi:

compromissione dei codici di attivazione della chiave privata;

ragionevole dubbio che sia stata violata la confidenzialità della chiave privata;
 sospetti abusi o attività illecite;
 inadempienze da parte del Titolare;
 cessazione dell’utilizzo del certificato;
 variazione dei dati riportati nel certificato;
 errori di registrazione (ad es. informazioni inesatte riportate nel certificato);
 richieste delle autorità giudiziarie;
 (Solo per certificati SSL/TLS) variazione dei dati di registrazione del dominio associato al certificato (es.
rimozione del dominio dal registro ICANN).
5.9.2
Soggetti che possono richiedere la revoca
La revoca del certificato può essere effettuata su richiesta del Titolare (o persona da esso delegata) o direttamente dalla Certification Authority.
5.9.3
Procedura di revoca per richiesta del Titolare
Il titolare (o la persona da esso delegata) ha a disposizione le seguenti modalità per inoltrare la richiesta di
revoca del certificato in proprio possesso:

Portale Servizi della Direzione Sistemi Informativi, previa autenticazione con le credenziali in proprio possesso e accesso alla sezione relativa ai servizi di certificazione digitale;

e-mail della struttura di Registration Authority;
5.9.4
Procedura di revoca per richiesta della CA
Salvo i casi di motivata urgenza, qualora la CA che ha rilasciato il certificato intenda revocare lo stesso ne
darà preventiva comunicazione al Titolare, specificando i motivi della revoca e la relativa data di decorrenza.
In ogni caso verrà data successiva comunicazione dell’avvenuta revoca al Titolare.
Pag. 18 di 38
ISP-GSC-311-2016-02
5.9.5
Grace Period delle richieste di revoca
A seguito dell’operazione di revoca, il Certificatore pubblicherà il certificato nella prima CRL regolarmente
emessa, considerando il periodo di tempo necessario a svolgere l’operazione di revoca. In particolare il grace
period è fissato a 12 ore.
Inoltre l’avvenuta revoca viene registrata nel giornale di controllo.
5.9.6
Requisiti per la verifica della validità dei Certificati
Le Relying Parties devono tenere in considerazione i seguenti requisiti al fine di verificare la validità dei certificati emessi dal Certificatore:
 la CRL deve essere scaricata dal punto di distribuzione specificato nel certificato;
 la firma della CRL deve essere verificata tramite il certificato della CA.
5.9.7
Frequenza di pubblicazione della CRL
La CRL viene pubblicata nel Registro dei Certificati ogni 36 ore.
5.9.8
Latenza massima per la CRL
La CRL, non appena viene emessa, è immediatamente pubblicata sulla copia di riferimento (Master Copy)
del Registro dei Certificati e successivamente replicata sulle copie operative (Shadow Copies) dello stesso
(entro 30 minuti).
5.9.9
Disponibilità del servizio di verifica on-line dello stato dei Certificati
La disponibilità del servizio OCSP è assicurata in modalità 24*7.
5.9.10
Requisiti per la verifica on-line dello stato dei Certificati
Per effettuare la verifica on-line dello stato dei certificati è necessario effettuare una richiesta specifica
(OCSP request) verso il sistema OCSP responder del Certificatore, che invia in risposta un messaggio con
le informazioni di validità degli stessi (certificato valido, revocato o sconosciuto).
5.10
5.10.1
Servizi informativi sullo stato dei Certificati
Caratteristiche Operative
Le informazioni sullo stato dei certificati sono rese disponibili agli interessati per mezzo di una Certificate Revocation List (CRL) pubblicata sul Registro dei Certificati, costituito da una copia di riferimento, inaccessibile
dall’esterno e risiedente su un sistema sicuro installato in locali protetti, e da più copie operative liberamente
accessibili attraverso la rete Internet. Le copie operative sono replicate su siti differenti al fine di rendere disponibile una copia del Registro dei certificati anche in caso di disastro.
Il registro dei certificati è accessibile tramite protocollo LDAP, come definito nella [RFC2251], o tramite protocollo http, come definito nella [RFC2616]. Il punto di distribuzione della CRL è specificato, per ciascun protocollo, all’interno di ogni certificato emesso dalla CA (estensione CRLDistributionPoints).
Lo stato dei certificati degli utenti finali può anche essere controllato tramite un servizio di verifica on-line
basato sul protocollo OCSP (On-line Certificate Status Protocol) e conforme alla specifica [RFC6960].
L’indirizzo del server OCSP è specificato all’interno dei certificati emessi dalla CA (estensione AuthorityInformationAccess).
Pag. 19 di 38
ISP-GSC-311-2016-02
5.10.2
Disponibilità del servizio
La disponibilità della CRL è assicurata in modalità 24*7.
5.11
Cessazione del contratto
I termini di cessazione dei servizi di Certification Authority sono definiti all’interno dei contratti di servizio sottoscritti dalle singole Società del Gruppo Intesa Sanpaolo.
5.12
Key escrow e key recovery
La chiave privata della Certification Authority è generata direttamente da un apparato HSM che ne scrive il
valore in maniera cifrata su un Remote File System.
La chiave può essere recuperata avendo a disposizione 3 di 6 smart cards contenenti il security world con
cui è stato inizializzato l’apparato HSM, il contenuto del Remote File System e un apparato HSM analogo. In
ogni caso la chiave recuperata non è in alcun modo esportabile al di fuori di questo environment.
Pag. 20 di 38
ISP-GSC-311-2016-02
6.
6.1
6.1.1
CONTROLLI OPERATIVI, GESTIONALI E DI FACILITY
Controlli di Sicurezza Fisica
Ubicazione e Costruzione
L'infrastruttura della Certification Authority è collocata all’interno dei locali di un Data Center conforme a
quanto previsto dalla normativa italiana nell’ambito della sicurezza degli stabili e dei luoghi di lavoro.
Il sito è un ambiente “half cable” e nell’edificio è presente una Meet Me Room (MMR) dove terminano tutti i
cavi esterni. Tale MMR fornisce un percorso sicuro, affidabile e diversificato per la connettività.
6.1.2
Controlli di Accesso Fisico
Gli accessi fisici all’edificio e ai locali sono consentiti solo al personale autorizzato e gli ospiti devono essere
preregistrati prima di accedere agli stessi.
Le richieste di accesso al sito possono essere sottoposte e accettate soltanto dal personale autorizzato, elencato in una Security Access List.
6.1.3
Gruppi di Continuità e Sistemi di Condizionamento
I locali sono muniti di impianto di condizionamento e l’impianto elettrico è protetto da cadute di tensione tramite un sistema UPS e un gruppo elettrogeno. L’integrità delle apparecchiature e degli impianti è mantenuta
e verificata costantemente, al fine di evitare guasti che possano causare interruzione al funzionamento continuo dei servizi.
6.1.4
Prevenzione da allagamenti
Tutti i siti sono ospitati in edifici collocati in zone non sismiche, dotati di opportuni sistemi di scarico delle acque e lontani dai corsi d’acqua.
6.1.5
Prevenzione antincendio
Tutti i siti sono dotati di sofisticati sistemi per il rilevamento e la soppressione degli incendi.
Il personale viene inoltre adeguatamente formato affinché apprenda le procedure di evacuazione dell’edificio
e di raduno presso il punto di raccolta designato.
6.1.6
Dismissione dei rifiuti
I materiali infiammabili quali scatoloni di cartone, carta, libri, manuali e scale di legno non vengono mantenuti all’interno del Data Center. È inoltre espressamente vietato conservare oggetti all’interno degli armadi
delle apparecchiature.
All’esterno dell’edificio sono inoltre stati predisposti appositi contenitori per la raccolta dei rifiuti e dei materiali di scarto.
Per garantire la sicurezza delle aree interne al Data Center, al termine di ogni giornata lavorativa si provvede
a rimuovere qualunque materiale combustibile presente nei locali.
6.1.7
Backup Off-Site
I Log, l’archivio dati e tutto quanto necessario per garantire la continuità dei servizi sono oggetto di backup
off-site.
Pag. 21 di 38
ISP-GSC-311-2016-02
6.2
6.2.1
Controlli Procedurali
Definizione dei ruoli
L’implementazione e il controllo dell’information security all’interno del servizio di CA è regolato da strutture
organizzative con ruoli e compiti ben definiti.
In particolare, le quantità di sicurezza sono gestite sotto la responsabilità dei Key Manager, che presiedono
alla creazione delle stesse e ne garantiscono la riservatezza e il corretto utilizzo.
I Key Manager hanno accesso a tutte le zone sicure con accesso controllato, sia dove sono presenti gli HSM
sia dove sono custodite in apposite casseforti le quantità di sicurezza, e sono divisi in due tipologie:
 Key Manager Administrator: hanno in gestione una parte di tutte le quantità di sicurezza, ed hanno le
competenze tecniche per la gestione degli HSM; in questo modo possono gestire eventuali attivazioni degli OCS o ripristino di un HSM dallo stato di non utilizzabile;
 Key Manager User: hanno in gestione solo una parte accessoria di quantità di sicurezza, e non hanno le
competenze tecniche per la gestione degli HSM.
6.2.2
Numerosità del personale richiesto per attività
Per tutte le operazioni di ordinaria amministrazione sulla CA è necessario un solo un Key Manager User,
mentre per le operazioni sulle chiavi di cifratura sono necessari almeno due Key Manager Administrator.
6.2.3
Identificazione e Autenticazione per ciascun Ruolo
Gli ingressi al Data Center sono effettuati sotto la sorveglianza del personale preposto al controllo degli accessi alle strutture, e devono sempre essere autorizzati in modo preventivo attraverso una richiesta formale.
Una volta ricevuta la conferma dell’abilitazione all’accesso, la persona autorizzata può accedere al Data Center attraverso le apposite bussole previa presentazione del proprio badge. Ogni accesso al Data Center viene
tracciato.
6.2.4
Ruoli per cui è richiesta la separazione dei Compiti
I Key Manager Administrator hanno accesso a tutte le zone sicure con accesso controllato, sia dove sono
presenti gli HSM sia dove sono custodite le quantità di sicurezza nelle casseforti dedicate.
Ogni Key Manager Administrator conosce e può gestire solo una parte delle quantità di sicurezza; in questo
modo sono necessarie entrambe le persone con tale ruolo per poter effettuare operazioni di gestione delle
chiavi di cifratura della CA.
6.3
6.3.1
Controlli sul Personale
Qualifiche ed esperienza del personale
Tutto il personale coinvolto nella gestione dei servizi di CA possiede un’esperienza che è stata verificata durante gli anni dai referenti tecnici con il supporto della struttura di Human Resource.
Il personale addetto ha ricevuto un adeguato addestramento ed è costantemente aggiornato sulle soluzioni
tecnologiche adottate, sulle procedure, sulle politiche di sicurezza e sulle variazioni organizzative.
Nessuno tra il personale addetto ha avuto in passato sanzioni disciplinari dovute a violazione delle misure di
sicurezza, né ha in essere altri incarichi incompatibili con quelli relativi ai servizi di certificazione.
6.3.2
Verifiche sulla qualità del personale
La qualità del personale viene costantemente verificata dai referenti tecnici del Certificatore con il supporto
della struttura di Human Resource.
Pag. 22 di 38
ISP-GSC-311-2016-02
6.3.3
Requisiti per la Formazione del Personale
Tutto il personale coinvolto nella gestione dei servizi di CA viene formato adeguatamente prima di ricevere
gli accessi al sistema; inoltre viene informato sui rischi correlati al mancato rispetto delle policy aziendali e
sulle eventuali sanzioni previste in caso di inadempienza.
6.3.4
Frequenza di erogazione della Formazione
Con frequenza trimestrale vengono effettuate delle verifiche sul livello formativo delle risorse coinvolte, intervenendo con corsi specifici laddove vengono riscontrati eventuali gap.
I corsi di formazione vengono inoltre programmati in occasione di specifiche necessità quali adeguamenti
all'infrastruttura, adeguamenti normativi o attivazione di nuovi servizi.
6.3.5
Job Rotation
Per garantire l'adeguata copertura del servizio e assicurare un livello di competenza elevato, le singole funzioni vengono assegnate in modo continuativo a personale altamente specializzato. In caso di inserimento di
nuove risorse, a seguito del completamento dell’iter formativo le stesse vengono impiegate in affiancamento
al personale specializzato per il periodo necessario al raggiungimento della totale autonomia.
6.3.6
Sanzioni a seguito di azioni non autorizzate
Nei casi in cui vengano riscontrate azioni non autorizzate da parte di uno o più soggetti, a questi vengono
immediatamente revocati gli accessi all'infrastruttura e inibita la partecipazione a qualsiasi attività riferita
all’erogazione dei servizi di CA. Vengono inoltre applicate le sanzioni previste dagli specifici accordi contrattuali di categoria.
6.3.7
Requisiti per Enti Terzi
Nessun ente terzo ha accesso diretto all'infrastruttura di CA ed eventuali interventi sono sempre eseguiti sotto la supervisione del personale autorizzato.
6.3.8
Documentazione fornita al personale
Al personale vengono forniti tutti i documenti necessari alla gestione e amministrazione dell'infrastruttura di
CA.
6.4
6.4.1
Procedure di Logging
Tipologia di eventi registrati
Tutti i sistemi mantengono traccia delle operazioni rilevanti.
Gli eventi vengono inoltre classificati in base a diversi livelli di rilevanza: il livello minimo è costituito dagli
eventi di tipo informativo, in genere relativi ad attività ordinarie (es. richiesta di certificato, emissione di una
nuova CRL), mentre il livello massimo si riferisce ad eventi critici (es. tentativi di eseguire operazioni non autorizzate, malfunzionamenti hardware o software).
6.4.2
Frequenza di elaborazione dei log
I dati di log vengono monitorati in tempo reale per individuare eventi di criticità elevate che richiedano immediato intervento di remediation.
Al rilevamento di un evento critico, un sistema automatizzato invia un allarme che viene registrato nella console di gestione per l’apertura di un incidente.
Pag. 23 di 38
ISP-GSC-311-2016-02
6.4.3
Periodo di conservazione dei log di audit
Tutti i log di audit vengono archiviati giornalmente in un sistema centralizzato e conservati per un periodo di
1 mese.
6.4.4
Protezione dei log di audit
L’immagine archiviata è cifrata dal software di backup e può essere decifrata in sola consultazione dal software stesso.
6.4.5
Procedure di backup dei log di audit
I backup dei log di audit sono gestiti dal software Netbackup e vengono salvati su infrastruttura DataDomain.
6.4.6
Vulnerability Assessment
E’ prevista l’esecuzione di specifiche verifiche di vulnerabilità nell’ambito del processo generale di Risk Assessment. Tali verifiche hanno in genere frequenza almeno annuale.
6.5
Archiviazione dei dati
6.5.1
Tipologie di informazioni archiviate
Oltre ai dati di log, viene eseguito un backup giornaliero dell’immagine della macchina virtuale contenente i
dati delle CA, degli utenti registrati e dei certificati emessi e le informazioni relative allo stato di revoca.
6.5.2
Periodo di conservazione dei dati archiviati
I dati archiviati vengono conservati per un periodo di 1 mese.
6.5.3
Protezione dell’archivio
Gli archivi, contenenti tutti i dump dei dati in formato compresso, vengono conservati giornalmente sui singoli
nodi di un DBMS dedicato, all’interno di una rete segregata.
6.5.3.1
Persone che possono accedere all’archivio
L’accesso ai backup è consentito solo agli amministratori di sistema.
6.5.3.2
Protezione dell’integrità dell’archivio
L’integrità dell’archivio è garantito dal software di backup che attua meccanismi proprietari di integrity check.
6.5.3.3
Protezione dell’archivio dalla cancellazione
Gli archivi possono essere cancellati solo dal software di backup.
6.5.3.4
Protezione dell’archivio dal deterioramento
L’infrastruttura DataDomain dispone di meccanismi di fault-tolerance e di protezione dal deterioramento
tramite archiviazione su tape library.
6.5.3.5
Protezione dell’archivio dall’obsolescenza
Non prevista
Pag. 24 di 38
ISP-GSC-311-2016-02
6.5.4
Procedure di backup dell’archivio
Le copie di backup dell'archivio vengono salvate quotidianamente dal software Netbackup su tape library e
conservate per un periodo di 1 mese.
6.5.5
Procedure per accedere e verificare le informazioni dell’Archivio
L’accesso ai nodi del DBMS è consentito gli amministratori di sistema, mentre i DB administrator ne possono
verificare il contenuto.
6.6
6.6.1
Rinnovo delle chiavi della CA
Rinnovo chiavi Enterprise CA
La Enterprise CA ha un periodo di vita pari a 10 anni e ogni 7 anni è previsto il rinnovo della stessa e la realizzazione di una nuova key ceremony per la creazione delle relative chiavi di cifratura. Tale tempistica garantisce che il periodo di validità dei certificati emessi dalla CA preceda il periodo di validità di quest’ultima.
6.7
6.7.1
Compromissione e Disaster Recovery
Procedure di gestione degli incidenti
Il Responsabile della Sicurezza mantiene un piano di gestione degli incidenti che prevede le seguenti fasi:
 gestione dell'emergenza: in questa fase è garantita la continuità di accesso alle CRL. La loro emissione
può subire ritardi derivanti dalla necessità di attivare il server di backup della CA, situato presso il sito di
recovery;
 gestione del transitorio: in questa fase è assicurata l'emissione dei certificati e il ripristino di ulteriori servizi presso il sito di disaster recovery;
 ripristino dell'esercizio a regime: in tale fase viene garantito il ripristino di tutti i servizi della CA, presso il
sito originale o in uno alternativo.
6.7.2
Procedure di recovery in caso di compromissione di Risorse, Software o Dati
La presenza di repliche della copia operativa del registro dei certificati distribuite in più siti consente, in caso
di interruzione dell’operatività del sito primario, di mantenere la disponibilità dei contenuti dello stesso, i quali risultano aggiornati al momento dell'interruzione.
Al fine di garantire una corretta gestione delle situazioni di emergenza è prevista la replica, nel sito di recovery, del registro dei certificati e dei dati del sistema di emissione degli stessi, e l'intervento entro 24 ore di
personale specializzato che provvede ad attivare la funzionalità di emissione delle CRL. Tale personale è
adeguatamente formato relativamente alle modalità di gestione delle componenti hardware e software
dell’infrastruttura di CA e alle procedure di gestione delle emergenze. Entro il medesimo lasso di tempo è
inoltre previsto l'intervento dei depositari delle componenti della chiave privata della CA ai fini di ricostruirla
nel dispositivo di firma del sito di recovery.
6.7.3
Procedure di gestione dei casi di compromissione delle chiavi del Certificatore
6.7.3.1
Compromissione dei dispositivi utilizzati per erogare i servizi di certificazione
In caso di guasto del dispositivo di firma è prevista, a seconda della tipologia del danno, la reinizializzazione
del dispositivo stesso o l’inizializzazione di uno nuovo con rigenerazione delle chiavi di cifratura originali.
Pag. 25 di 38
ISP-GSC-311-2016-02
6.7.3.2
Compromissione della chiave privata del Certificatore
In caso di compromissione delle chiavi private del Certificatore è applicata la procedura di revoca e si provvede a generare una nuova coppia di chiavi di cifratura per poter garantire il corretto funzionamento del sistema.
6.7.4
Processo di Business Continuity a seguito di disastro
Il Responsabile della sicurezza mantiene il piano di gestione degli eventi di crisi, che specifica i passi operativi necessari per poter garantire la continuità dei processi di business a seguito di disastro.
I Piani di Business Continuity, definiti in corrispondenza degli scenari di indisponibilità di personale, siti o risorse IT, sono formalizzati all’interno di specifici documenti, resi disponibili al personale interessato tramite
gli strumenti di comunicazione aziendali.
6.8
Cessazione della CA
La cessazione della CA comporta la revoca di tutti i certificati da essa rilasciati.
Pag. 26 di 38
ISP-GSC-311-2016-02
7.
7.1
7.1.1
MISURE TECNICHE DI SICUREZZA
Generazione delle Chiavi
Enterprise CA
Le coppie di chiavi di certificazione della CA sono generate in un ambiente fisicamente sicuro tramite dispositivo HSM.
Per ciascuna coppia di chiavi di certificazione generato viene in seguito prodotta una Certificate Signing Request (CSR) verso la Certification Authority “Baltimore Cybertrust Root” di Verizon, affinché la stessa provveda a emettere un nuovo certificato digitale contenente la chiave pubblica e le informazioni della Enterprise
CA.
7.1.2
Titolari
Le coppie di chiavi di certificazione assegnate ai Titolari dei certificati, sono generate dal Titolare direttamente sui sistemi in cui verrà installato il certificato.
Per ciascuna coppia di chiavi di certificazione viene generato un certificato, firmato con la chiave privata della Enterprise CA, contenente la chiave pubblica e le informazioni del rispettivo Titolare.
7.2
7.2.1
Distribuzione della chiave pubblica
Enterprise CA
La chiave pubblica della CA è inclusa nel certificato associato alla stessa e firmato dalla Certification Authority “Baltimore Cybertrust Root” di Verizon.
Il certificato della CA viene pubblicato nel Registro dei Certificati (copia Master) e reso accessibile tramite
copie Shadow
7.2.2
Titolari
Le chiavi pubbliche dei Titolari sono incluse nei certificati digitali associati alle stesse e firmati dalla Enterprise CA.
7.3
7.3.1
Lunghezza delle chiavi
Enterprise CA
Le chiavi della CA hanno una lunghezza pari ad almeno 2048 bit.
7.3.2
Titolari
Le chiavi assegnate ai Titolari hanno una lunghezza pari ad almeno 2048 bit.
Pag. 27 di 38
ISP-GSC-311-2016-02
7.4
7.4.1
Parametri di generazione e qualità delle chiavi
Enterprise CA
La coppia di chiavi di cifratura associata alla CA è generata con algoritmo RSA, con esponente pubblico pari
a 65537.
7.4.2
Titolari
La coppia di chiavi di cifratura associata al Titolare del certificato digitale è generata con algoritmo RSA, con
esponente pubblico pari a 65537.
7.5
7.5.1
Key Usage (estensione X.509 v3)
Enterprise CA
L’estensione Key Usage del certificato della CA ha i seguenti bit attivati:
 Digital Signature;
 Certificate Sign;
 CRL Sign.
7.5.2
Titolari
L’estensione Key Usage, in corrispondenza delle specifiche tipologie di certificati emessi dalla CA, è valorizzata secondo quanto indicato nel paragrafo 8.1.2.
7.6
7.6.1
Protezione della chiave privata
Enterprise CA
La chiave privata della CA è generata e conservata in modo sicuro all’interno dell’HSM del Certificatore. Sono inoltre implementati controlli di natura tecnica e organizzativa per prevenirne la compromissione.
7.6.2
Titolari
Non previsto.
7.7
Standard di sicurezza dei moduli crittografici
Gli apparati HSM utilizzati per la generazione e conservazione delle chiavi private dell’Enterprise CA soddisfano i requisiti FIPS 140-2 Level 3 e Common Criteria EAL4+
7.8
7.8.1
Multi-Person Control (N di M) della chiave privata
Enterprise CA
Il Security World dell’apparato HSM utilizzato per la generazione e conservazione della chiave privata
dell’Enterprise CA richiede, per l’inizializzazione o il ripristino, la presenza di 3 su 6 smart card amministrative.
Pag. 28 di 38
ISP-GSC-311-2016-02
Le smart card amministrative sono suddivise su 3 siti e conservate in cassaforte.
7.8.2
Titolari
Non previsto.
7.9
Escrow della chiave privata
Non previsto.
7.10
Backup della chiave privata
7.10.1
Enterprise CA
Il backup della chiave privata avviene giornalmente con il backup dell’Enterprise CA.
7.10.2
Titolari
Non previsto.
7.11
Archiviazione della chiave privata
7.11.1
Enterprise CA
Non previsto.
7.11.2
Titolari
Non previsto.
7.12
Trasferimento della chiave privata da/al Modulo Crittografico
7.12.1
Enterprise CA
Non previsto.
7.12.2
Titolari
Non previsto.
7.13
Metodi di attivazione della chiave privata
7.13.1
Enterprise CA
La chiave privata viene attivata all’atto della sua generazione. In caso di mancata connettività tra la enterprise CA e il modulo HSM l’accesso da parte della CA alla chiave privata risulta inibito finché non viene riattivata la comunicazione tra CA e HSM attraverso l’utilizzo di un Key Manager User.
7.13.2
Titolari
Non previsto.
Pag. 29 di 38
ISP-GSC-311-2016-02
7.14
Metodi di disattivazione della chiave privata
7.14.1
Enterprise CA
La chiave privata della Enterprise CA può essere disattivata semplicemente interrompendo la comunicazione
tra la CA e il modulo HSM.
7.14.2
Titolari
Non previsto.
7.15
Metodi di dismissione della chiave privata
7.15.1
Enterprise CA
La dismissione della chiave privata è possibile attraverso il software di gestione del modulo HSM che può
provvedere a cancellare definitivamente la chiave privata.
7.15.2
Titolari
Non previsto.
7.16
Archiviazione delle chiavi pubbliche
7.16.1
Enterprise CA
La chiave pubblica è archiviata secondo le politiche di archiviazione dei backup della virtual machine
7.16.2
Titolari
Non previsto.
7.17
7.17.1
Periodo di utilizzo delle chiavi
Enterprise CA
Le chiavi di cifratura hanno un periodo di utilizzo pari al periodo di validità del certificato della CA cui sono
associate.
7.17.2
Titolari
Le chiavi di cifratura hanno un periodo di utilizzo pari al periodo di validità del certificato cui sono associate.
7.18
7.18.1
Generazione e installazione dei dati di attivazione
Enterprise CA
La generazione e installazione della chiave privata dell’Enterprise CA avviene nel corso della Key Ceremony
in cui personale autorizzato attiva la connessione dell’Enterprise CA con il modulo crittografico ed esegue la
procedura di generazione della chiave privata e della CSR.
Pag. 30 di 38
ISP-GSC-311-2016-02
7.18.2
Titolari
Non previsto
7.19
Protezione dei dati di attivazione
7.19.1
Enterprise CA
La chiave privata è protetta da un modulo di crittografia il cui Security World è composto da smart card conservate in cassaforte. Le smart card sono suddivise su 3 sites per maggiore sicurezza.
7.19.2
Titolari
Non previsto
7.20
Misure di sicurezza dei sistemi
L’accesso ai sistemi è consentita solo agli utenti autorizzati e profilati a seconda delle funzioni che devono
svolgere.
L’accesso al software della Certification Authority è consentito solo agli utenti con diritti amministrativi sulla
CA.
7.21
Misure di sicurezza di rete
La Certification authority è raggiungibile solo dall’applicazione di Registration Authority per le operazioni sui
certificati e dalla rete di management per le attività sistemistiche.
7.22
Time-Stamping
L’orologio dei sistemi è sincronizzato con un servizio NTP stratum 2.
Pag. 31 di 38
ISP-GSC-311-2016-02
8.
PROFILI DI CERTIFICATI, CRL E OCSP
8.1
Profili dei certificati
8.1.1
Enterprise CA
Si riporta di seguito il profilo definito per i certificati della CA.
Campo
Valore
VERSION
3
SERIAL
Generato automaticamente dalla CA emittente
ALG. ID
sha256RSA
ISSUER
-
VALIDITY
10 anni
SUBJECT
- Common Name = Intesa Sanpaolo CA Servizi Esterni Enhanced
- Domain Component = corp
- Domain Component = sanpaoloimi
- Domain Component = com
PUBLIC KEY
RSA da 2048 bit
Estensione
Valore
CRL Distribution Points
Distribution Point 1:
- Uniform Resource ID1 = URL=http://cdp1.publictrust.com/CRL/Omniroot2025.crl
Key Usage
Digital Signature, Certificate Sign, CRL Sign, Offline CRL Sign
Basic Constraints
CA (critical), pathlen:0
8.1.2
Country Name = IE
Organization Name = Baltimore
Organizational Unit = CyberTrust
Common Name = Baltimore CyberTrust Root
Titolari
Si riporta di seguito il profilo definito per i certificati degli Utenti Finali (Titolari).
8.1.2.1
Certificati SSL
Campo
Valore
VERSION
3
SERIAL
Pag. 32 di 38
ISP-GSC-311-2016-02
ALG. ID
sha256RSA
ISSUER
-
VALIDITY
2 anni
SUBJECT
- Country Name = IT
- Organization Name = Intesa Sanpaolo S.p.A.
- Common Name = <FQDN del sito>
PUBLIC KEY
RSA da 2048 bit
Estensione
Valore
CertificatePolicies
-
subjectAltName
- < FQDN del sito>
- Uniform Resource ID1 =
http://ca.intesasanpaolo.com/portalCais0/crl/servext2.crl
Key Usage
Digital Signature, Key Encryption
Extended Key Usage
Server Authentication
Authority Information
Access
Alternative Name = http://ocsp.intesasanpaolo.com
8.1.2.2
Common Name = Intesa Sanpaolo CA Servizi Esterni Enhanced
Domain Component = corp
Domain Component = sanpaoloimi
Domain Component = com
PolicyOID =1.3.6.1.4.1.20052.3.1.1
CPS-URI =
http://ca.intesasanpaolo.com/portalCais0/cps/cps2048.htm
Certificati di Code Signing
Campo
Valore
VERSION
3
SERIAL
ALG. ID
sha1WithRSAEncryption
ISSUER
-
VALIDITY
3 anni
SUBJECT
- Country Name = IT
- Common Name = Software Certificato Intesa Sanpaolo
PUBLIC KEY
RSA da 2048 bit
Estensione
Valore
CertificatePolicies
-
PolicyOID =1.3.6.1.4.1.20052.3.1.1
CPS-URI =
Pag. 33 di 38
ISP-GSC-311-2016-02
http://ca.intesasanpaolo.com/portalCais0/crl/servext.crl
Key Usage
Digital Signature
Extended Key Usage
Code Signing, WHDV
Access
8.1.2.3
8.2
Certificati di Client Authentication
Campo
Valore
VERSION
3
SERIAL
ALG. ID
sha256RSA
ISSUER
-
VALIDITY
2 anni
SUBJECT
- Country Name = IT
- Common Name = <FQDN del client>
PUBLIC KEY
RSA da 2048 bit
Estensione
Valore
CertificatePolicies
-
subjectAltName
- < FQDN del sito>
Key Usage
Digital Signature, Key Encryption
Extended Key Usage
Server Authentication, Client Authentication
Access
PolicyOID =1.3.6.1.4.1.20052.3.1.1
CPS-URI =
Profilo della CRL
Il formato della CRL è conforme alla RFC 5280 e allo standard ISO/IEC 9594-8:2005.
Pag. 34 di 38
ISP-GSC-311-2016-02
8.2.1
Versione
Il campo version è valorizzato come “v2”.
8.2.2
Estensioni delle CRL e delle entry
Le estensioni impostate sono le seguenti:
 CRL: estensione cRLNumber, che indica il numero incrementale di CRL;
 entry delle CRL: estensione reasonCode, che indica la causale di revoca.
8.3
Profilo OCSP
Il certificato relativo alla chiave di sottoscrizione temporale del risponditore OCSP è emesso con profilo conforme alla RFC 6960.
Di seguito sono riportate le caratteristiche del profilo di tale certificato.
Campo
Valore
VERSION
3
SERIAL
ALG. ID
sha256RSA
ISSUER
-
VALIDITY
2 settimane
SUBJECT
- Common Name = <FQDN della risorsa>
PUBLIC KEY
RSA da 2048 bit
Estensione
Valore
CertificatePolicies
-
Key Usage
Digital Signature
Extended Key Usage
OCSP Signing
Access
PolicyOID =1.3.6.1.4.1.20052.3.1.1
CPS-URI =
Pag. 35 di 38
ISP-GSC-311-2016-02
9.
9.1
VERIFICHE DI CONFORMITÀ
Frequenza e circostanze dalle verifiche
Intesa Sanpaolo si impegna ad effettuare ogni anno una verifica di conformità sulla propria Certification Authority, ingaggiando un ente esterno e indipendente al fine di garantire l’oggettività e l’imparzialità delle analisi effettuate e dei risultati prodotti.
Periodicamente sono in aggiunta condotti audit interni da parte della struttura delegata al governo dei servizi
di Certification Authority di Intesa Sanpaolo.
9.2
Identità e qualificazione degli ispettori
Le verifiche esterne sono condotte da terze parti indipendenti che offrano adeguate garanzie dal punto di
vista organizzativo e tecnologico e che siano in possesso delle adeguate competenze in materia.
Le verifiche interne sono svolte da personale della struttura delegata al governo dei servizi di Certification
Authority di Intesa Sanpaolo in possesso delle adeguate qualifiche in materia.
9.3
Relazioni tra i soggetti esaminati e gli ispettori
Gli auditor esterni non hanno alcuna relazione con il Gruppo Intesa Sanpaolo che possa influenzare
l’imparzialità dei risultati delle verifiche effettuate sulla Certification Authority.
La struttura delegata al governo dei servizi di Certification Authority di Intesa Sanpaolo riporta ad una direzione aziendale differente da quella cui riportano le unità organizzative preposte all’erogazione dei servizi di
Certification Authority.
9.4
Argomenti coperti dalle verifiche
Gli audit svolti dagli enti esterni sono finalizzati a verificare la conformità dei servizi di Certification Authority
con gli standard internazionali di riferimento in materia. In particolare sono tenuti in considerazione i seguenti standard:
 “Internet WebTrust Program for Certification Authorities”.
 “Internet CA/Browser Forum Baseline Requirements for the Issuance and Management of PubliclyTrusted Certificates Verification”.
 ETSI EN 319 411-1 V1.1.1 (2016-02) " Electronic Signatures and Infrastructures (ESI); Policy and security
requirements for Trust Service Providers issuing certificates; Part 1: General requirements".
 ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI); Trust Service Provider
Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers”.
Gli audit interni da parte della struttura delegata al governo dei servizi di Certification Authority di Intesa
Sanpaolo sono finalizzati ad accertare il rispetto delle procedure operative della CA e verificare la conformità
con gli standard aziendali di riferimento.
Pag. 36 di 38
ISP-GSC-311-2016-02
9.5
Azioni conseguenti alle non conformità
Nel caso in cui le ispezioni degli enti esterni evidenzino non conformità, viene concordata una pianificazione
temporale entro cui la Certification Authority provvede a risolvere le stesse.
Lo stato di attuazione degli interventi di adeguamento viene verificato nel corso delle successive ispezioni da
parte dell’ente esterno.
Relativamente alle ispezioni interne, le eventuali non conformità riscontrate vengono condivise con le strutture preposte all’erogazione dei servizi di Certification Authority che provvedono a definire un piano di intervento per la risoluzione delle stesse. La struttura delegata al governo dei servizi di Certification Authority di
Intesa Sanpaolo provvede inoltre a verificare la corretta attuazione delle azioni identificate.
9.6
Comunicazione dei risultati
I risultati degli audit svolti dagli enti esterni vengono formalizzati all’interno di un apposito report consegnato
alla Certification Authority.
I risultati delle ispezioni svolte dalla struttura delegata al governo dei servizi di Certification Authority di Intesa Sanpaolo vengono comunicati, tramite la predisposizione di un apposito report di audit, alle strutture
coinvolte nell’erogazione dei servizi di Certification Authority.
Pag. 37 di 38
ISP-GSC-311-2016-02
10.
CONDIZIONI GENERALI DI SERVIZIO
Il ruolo di CA è assegnato a Intesa Sanpaolo S.p.A., che si avvale di Intesa Sanpaolo Group Services S.c.p.A
(società consortile del Gruppo Intesa Sanpaolo) per la gestione dell’infrastruttura informatica a supporto
dell’erogazione dei servizi di Certification Authority.
Le Condizioni Generali di Servizio sono definite all’interno dei “contratti di servizio” stipulati tra le Società del
Gruppo Intesa Sanpaolo (utenti finali della Certification Authority) e Intesa Sanpaolo Group Services S.c.p.A.
Pag. 38 di 38

Certification Practice Statement - BancaIdentity

Transcript

Documenti analoghi

Certificati ed estratti di stato civile oa mezzo fax

Leggi l`Avviso - Comune di Castelfranco in Miscano

Verifica firma digitale

Certificati online, ecco l`intervista rilasciata dal segretario nazionale

Scaricare certificati Uffici Giudiziari per Consolle Avvocati Per poter

tifa per l`italia che ami. vota il tuo luogo del cuore.

diritti di segreteria

Certificato Ambiente ISO14001

Richiesta Certificati Alla Segreteria della Scuola Iad Recapito per la