INTESA_CP_CNS - e

Commenti

Transcript

INTESA_CP_CNS - e
Certificate Policy
Certificati di Autenticazione per la
Carta Nazionale dei Servizi
Codice documento: CP_CNS
Redazione: Antonio Raia
Approvazione: Franco Tafini
Data emissione: 25/05/2007
Revisione: 01
Certificate Policy CNS – Ente Certificatore INTESA
REVISIONI
Revisione n° :
00
Descrizione modifiche :
Nessuna
Motivazioni :
Prima emissione
Revisione n° :
01
Descrizione modifiche :
Data Revisione :
18/05/2005
Data Revisione :
25/05/2007
1.
Introdotti i riferimenti di legge alle LG 05/05/2006 V 3.0 Linee guida per l’emissione e l’utilizzo della Carta Nazionale
dei Servizi.
2.
Introdotti i riferimenti di legge al CAD - Codice
dell’Amministrazione Digitale in sostituzione del Testo
Unico DPR 445/00
3.
Inserimento paragrafo A.Generalità in sostituzione del
precedente Introduzione. Aggiunta numerazione ai
sottoparagrafi
4.
A.4 Riferimenti di Legge: aggiunti riferimenti a LG
05/05/2006 V 3.0 e CAD
5.
A.5 Riferimenti Tecnici: aggiunti riferimenti a lla CPS per i
Certificati Qualificati
6.
A.6 Definizioni e acronimi: aggiunte voci CAD e MO
7.
B Dati identificativi del Certificatore: modifica nominativo
del legale rappresentante; modifica riferimento al sito
internet
8.
C. Dati identificativi della versione della Certificate Policy:
modificato nome del documento nel link, da
certificate-policyCNS.pdf a INTESA_CP_CNS.pdf
9.
D.Responsabile della Certificate Policy: variato contenuto
del paragrafo
10. E.3.Obblighi del Certificatore: inserito “non conservare le
chiavi private del certificato di autenticazione”
11. F.2.Assicurazione: variati massimali
12. K. Informazioni contenute nei certificati di autenticazione:
modificato intero paragrafo
13. Cap. L.: modificato nome paragrafo in “Modalità di
rinnovo, revoca e sospensione dei certificati di
autenticazione di CNS” ed eliminato ex paragrafo
M.Modalità di sostituzione delle chiavi.
www.intesa.it
Pagina 2 di 31
Certificate Policy CNS – Ente Certificatore INTESA
14. L.Modalità di rinnovo, revoca e sospensione dei certificati di
autenticazione di CNS.: inserito paragrafo L.1.Rinnovo dei
certificati di autenticazione di CNS
15. L.3.Sospensione dei certificati di autenticazione di CNS:
modificato il periodo di attesa per la revoca automatica da
TRE a 10 (dieci) giorni
16. Cap. M.Gestione della Sicurezza: modificato paragrafo
Motivazioni :
www.intesa.it
Adeguamento alla normativa vigente
Aggiornamento delle procedure interne
Pagina 3 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Sommario
REVISIONI ............................................................................................................................................ 2
Sommario ............................................................................................................................................. 4
A. Generalità ........................................................................................................................................ 5
A.1. Proprietà intellettuale ................................................................................................................. 5
A.2. Applicabilità................................................................................................................................ 5
A.3. Validità ....................................................................................................................................... 6
A.4. Riferimenti di legge .................................................................................................................... 7
A.5. Riferimenti tecnici....................................................................................................................... 8
A.6. Definizioni e acronimi................................................................................................................. 9
B. Dati identificativi del Certificatore .............................................................................................. 14
C. Dati identificativi della versione della Certificate Policy .......................................................... 15
D. Responsabile della Certificate Policy......................................................................................... 16
E. Soggetti coinvolti nel processo di emissione della CNS.......................................................... 17
E.1. Obblighi dell’Ente Emettitore ................................................................................................... 17
E.2. Obblighi del Produttore ............................................................................................................ 18
E.3. Obblighi del Certificatore ......................................................................................................... 18
E.4. Obblighi dei Titolari .................................................................................................................. 19
E.5. Obblighi inerenti l’utilizzo un certificato.................................................................................... 19
F. Responsabilità e limitazioni agli indennizzi ............................................................................... 20
F.1. Responsabilità del Certificatore ............................................................................................... 20
F.2. Assicurazione........................................................................................................................... 20
F.3. Limitazioni agli indennizzi ........................................................................................................ 20
G. Tariffe............................................................................................................................................. 21
H. Modalità di identificazione e registrazione degli utenti ............................................................ 22
H.1. Identificazione degli utenti ....................................................................................................... 22
H.2. Registrazione degli utenti ........................................................................................................ 22
I. Chiavi di Certificazione.................................................................................................................. 23
J. Modalità di emissione dei certificati di CNS............................................................................... 24
K. Informazioni contenute nei certificati di autenticazione .......................................................... 27
L. Modalità di rinnovo, revoca e sospensione dei certificati di autenticazione di CNS............. 28
L.1. Rinnovo dei certificati di autenticazione di CNS ...................................................................... 28
L.2. Revoca dei certificati di autenticazione di CNS ....................................................................... 28
L.2.1. Revoca su richiesta del Titolare........................................................................................ 28
L.2.2. Revoca su richiesta dell’Ente Emettitore .......................................................................... 29
L.2.3. Revoca su iniziativa del Certificatore ................................................................................ 29
L.3. Sospensione dei certificati di autenticazione di CNS............................................................... 29
M. Gestione della Sicurezza ............................................................................................................. 31
www.intesa.it
Pagina 4 di 31
Certificate Policy CNS – Ente Certificatore INTESA
A. Generalità
Il presente documento contiene le regole generali che governano l’emissione e l’uso dei
Certificati di Autenticazione per la Carta Nazionale dei Servizi CNS sottoscritti dal
Certificatore In.Te.S.A. S.p.A. (nel seguito anche INTESA).
Un certificato digitale associa una chiave pubblica di crittografia ad un insieme di
informazioni che identificano il soggetto che possiede la corrispondente chiave privata
(individuo o dispositivo). Tale soggetto è detto “Titolare” del certificato, possiede la coppia
di chiavi asimmetriche (pubblica e privata) e le utilizza per gli usi consentiti (firma di
documenti, riconoscimento in rete, ecc.).
Altri soggetti, gli utenti, identificano il Titolare, facendo affidamento sul processo di
certificazione della chiave pubblica svolto Certificatore, che assume il ruolo di terza parte
fidata. Il certificatore garantisce la corrispondenza della chiave pubblica, contenuta nel
certificato, con la chiave privata, posseduta solo e univocamente dal Titolare.
INTESA è un Certificatore Accreditato che genera certificati digitali di diverse tipologie, tra
cui i certificati di autenticazione per la Carta Nazionale dei Servizi.
Questi ultimi sono emessi su richiesta del Titolare e generati sulla base delle informazioni
anagrafiche ottenute in fase di registrazione dall’Ente Emettitore o da altro soggetto da
questi delegato. I certificati digitali di autenticazione CNS sono utilizzati per tutte le
funzioni di riconoscimento in rete, vengono rilasciati su dispositivo sicuro (smartcard) e, in
combinazione con il PIN utente, consentono l’utilizzo dei servizi di rete delle Pubbliche
Amministrazioni da parte del Titolare.
A.1. Proprietà intellettuale
La presente Certificate Policy è di esclusiva proprietà di In.Te.S.A. S.p.A., che è Titolare di
ogni relativo diritto intellettuale.
A.2. Applicabilità
Il presente documento costituisce la Certificate Policy dei Certificati di Autenticazione per
la Carta Nazionale dei Servizi del Certificatore Accreditato In.Te.S.A. S.p.A., al quale d'ora
in poi si farà riferimento anche come Certificatore.
Questo documento descrive le regole e le procedure operative del Certificatore INTESA per
l’emissione dei certificati di autenticazione di CNS.
www.intesa.it
Pagina 5 di 31
Certificate Policy CNS – Ente Certificatore INTESA
A.3. Validità
Quanto descritto in questo documento si applica al Certificatore In.Te.S.A. S.p.A.,
relativamente all’emissione e all’utilizzo dei Certificati di Autenticazione per la Carta
Nazionale dei Servizi (CNS). Tali certificati sono emessi dal Certificatore utilizzando le
stesse chiavi di certificazione utilizzate per la firma dei certificati qualificati. Il Certificatore
ha infatti ottenuto dal Centro Nazionale per l’Informatica nella Pubblica Amministrazione
l’autorizzazione, come previsto dall’Art.5 del DPCM 13/01/04, che le stesse chiavi di
certificazione siano utilizzate per le seguenti finalità addizionali:
- generazione e verifica delle firme associate ai certificati di autenticazione per l’utilizzo
nell’ambito della emissione della Carta Nazionale dei Servizi (CNS),
- generazione e verifica delle firme associate a certificati di crittografia.
Per informazioni sul Certificatore INTESA, si rimanda al documento Manuale Operativo
del Certificatore Accreditato INTESA, disponibile presso il sito internet del Certificatore.
www.intesa.it
Pagina 6 di 31
Certificate Policy CNS – Ente Certificatore INTESA
A.4. Riferimenti di legge
DPCM 437
22/10/1999
DPR 445/00
28/12/2000
DL 10
23/01/2002
Decreto del Presidente del Consiglio dei Ministri del 22 ottobre 1999, n. 437
Regolamento recante caratteristiche e modalità per il rilascio della carta di
identità elettronica e del documento di identità elettronico, a norma dell'articolo
2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall'articolo
2, comma 4, della legge 16 giugno 1998, n. 191.
Decreto del Presidente della Repubblica del 28 dicembre 2000, n.445.
"Testo unico delle disposizioni legislative e regolamentari in materia di
documentazione amministrativa"
Gazzetta Ufficiale n.42 del 20 febbraio 2001.
DPR 137
07/04/2003
Recepimento della Direttiva 1999/93/CE sulla firma elettronica.
G.U. n.39 del 15 Febbraio 2002
Regolamento recante disposizioni di coordinamento in materia di firme
elettroniche a norma dell'Articolo 13 del decreto legislativo 23 gennaio 2002, n.
10.
G.U. n.138 del 17 Giugno 2003
DLGS 196
30/06/2003
Codice in materia di protezione dei dati personali.
G.U. n.174 del 29 luglio 2003, suppl. ord.
DPCM
13/01/2004
Regole tecniche per la formazione, la trasmissione, la conservazione, la
duplicazione, la riproduzione e la validazione, anche temporale, dei documenti
informatici.
G.U. n.98 del 27 Aprile 2004
DPR 117
02/03/2004
Decreto del Presidente della Repubblica 2 marzo 2004, n. 117
Regolamento concernente la diffusione della carta nazionale dei servizi, a
norma dell’articolo 27, comma 8, lettera b), della L. 16 gennaio 2003, n.3.
G.U. n. 105 del 6 maggio 2004
Decreto
Decreto del Ministro dell'interno, del Ministro per l'innovazione e le
Interministeriale tecnologie e del Ministro dell'economia e finanze
09/12/2004
Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati
per la produzione della CNS.
G.U. n.296 del 18/12/2004
DLGS 82
07/03/2005
DLGS 159
04/04/2006
LG
05/05/2006
www.intesa.it
Decreto Legislativo 7 Marzo 2005, n. 82 - Codice dell’Amministrazione
Digitale (nel seguito indicato semplicemente come CAD).
G.U. n.112 del 16 Maggio 2005
Decreto legislativo 4 aprile 2006, n. 159 "Disposizioni integrative e
correttive al decreto legislativo 7 marzo 2005, n. 82 recante codice
dell'amministrazione digitale".
GU 29 aprile 2006, n. 99
Linee guida per l’emissione e l’utilizzo della Carta Nazionale dei Servizi V3.0
G.U. 20 gennaio 2006, n. 16
Pagina 7 di 31
Certificate Policy CNS – Ente Certificatore INTESA
A.5. Riferimenti tecnici
RFC 3280
RFC 3280 (2002): "Internet X.509 Public Key Infrastructure Certificate and CRL
Profile
RFC 3161
RFC 3161 (2001): “ Internet X.509 Public Key Infrastructure Time Stamp Protocol
(TSP)”
ISO/IEC 9594- Information Technology – Open Systems Interconnection – The Directory:
8 2001:(E)
Authentication 01/08/2001
Framework; ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8
RFC 2527
RFC 2527 (1999): “Internet X.509 Public Key Infrastructure Certificate Policy and
Certification Practices Framework”
RFC 3039
RFC 3039 (2001) Internet X.509 Public Key Infrastructure Qualified Certificates
Profile
MO
Manuale Operativo del Certificatore Accreditato INTESA, rev.06, 30 novembre
2006
CPS
Certification Practice Statement per i Certificati di Sottoscrizione del Certificatore
Qualificato INTESA, rev.01, 5 febbraio 2007
www.intesa.it
Pagina 8 di 31
Certificate Policy CNS – Ente Certificatore INTESA
A.6. Definizioni e acronimi
Sono qui riportati i significati di acronimi e di termini specifici aggiuntivi rispetto a quanto
indicato nel DPCM 13/01/04, nel DPR 117 02/03/04 e nel DLGS 82 07/03/2005, ai quali si
rimanda.
Non sono riportati i significati di alcuni acronimi e termini specifici di uso comune.
Termine o
acronimo
AA
AC
Analisi dei rischi
Attribute Authority
Significato
Riferimento
Attribute Authority (vedi).
Attribute Certificate (vedi).
Vedi Risk Assessment.
Autorità considerata affidabile da uno o più utenti per creare e
assegnare Attribute Certificate (vedi).
PKIX Road-map
(An authority trusted by one or more users to create and sign attribute
certificates)
Attribute
Certificate
Struttura di dati contenente un insieme di attributi di una End Entity PKIX Road-map
e ulteriori informazioni, firmata in modo digitale con la chiave
privata della AA che l'ha emessa.
(A data structure containing a set of Attributes for an end-entity and some
other information, which is digitally signed with the private key of the AA
which issued it)
CA
CAD
Carta Nazionale
dei Servizi
Certificate
Authority
Certificate Authority (vedi).
Codice dell’Amministrazione Digitale - DLGS 82, 07/03/2005
Carta a microprocessore che permette l’accesso ai servizi on-line
della Pubblica Amministrazione.
Autorità considerata affidabile da uno o più utenti per creare e
assegnare PKC.
In Italia si preferisce il termine "Certificatore", come definito dal
DPR 445/00/97.
PKIX Road-map
(Certification Authority (CA) – An authority trusted by one or more users
to create and assign public key certificates)
Certificate Policy
Un insieme di norme, contraddistinto da un codice, che indica
l'applicabilità di un certificato ad una particolare comunità e/o a
una classe di applicazioni aventi comuni esigenze di sicurezza.
RFC 2527
(A named set of rules that indicates the applicability of a certificate to a
particular community and/or class of application with common security
requirements)
Certificate
Revocation List
Un elenco firmato che riporta un insieme di certificati non più
considerati validi dal Certificatore che li ha emessi.
ISO 95948:2001(E)
(A signed list indicating a set of certificates that are no longer considered 01/08/2001
valid by the certificate issuer)
Certificate
Suspension List
www.intesa.it
Lista dei certificati sospesi che generalmente viene inclusa nella
CRL
Pagina 9 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Termine o
Significato
acronimo
Certification
Una dichiarazione delle prassi seguite da un Certificatore
Practice Statement nell'emettere e gestire certificati.
Riferimento
RFC 2527
(A statement of the Practices which a certification authority employs in
issuing certificates)
CNS
CP
CPS
CRL
Carta Nazionale dei Servizi (vedi).
Certificate Policy (vedi).
Certification Practice Statement (vedi).
Certificate Revocation List (vedi).
CSL
Diffie – Hellman
Certificate Suspension List (vedi)
Un metodo basato su chiavi pubblicato nel 1976 da Whitfield
Diffie e Martin Hellman [DH76, R2631].
RFC 2527
RFC 2527
ISO 95948:2001(E)
01/08/2001
RFC 2828
A key agreement algorithm published in 1976 by Whitfield Diffie and
Martin Hellman [DH76, R2631].
End Entity
Il Titolare di un certificato che non sia la CA in una PKI o la AA in PKIX Road-map
una PMI.
(A subject of a certificate who is not a CA in the PKI or an AA in the PMI)
FIPS
Firewall
Federal Information Processing Standard.
Un collegamento tra due reti che controlla il traffico di dati da e per RFC 2828
una di esse (quella cosiddetta "interna" al firewall) proteggendone
così le risorse da minacce provenienti dall'altra rete (quella
cosiddetta "esterna" al firewall).
(An internetwork gateway that restricts data communication traffic to and
from one of the connected networks (the one said to be "inside" the
firewall) and thus protects that network's system resources against threats
from the other network (the one that is said to be "outside" the firewall)
HASH
HSM
ICT
IETF
ITSEC
Funzione che prende in input una stringa di lunghezza variabile e
ritorna una stringa di lunghezza fissa
Hardware Security Module
Dispositivi hardware dedicati per la sicurezza crittografica e la gestione
delle chiavi in grado di garantire un elevato livello di protezione.
Information and Communication Technology
Tecnologia dell'Informatica e delle Telecomunicazioni.
Il dipartimento che gestisce i sistemi informatici e telematici.
Internet Engineering Task Force.
Information Technology Security Evaluation Criteria
Insieme strutturato di criteri per la valutazione della sicurezza dei
computer nell'ambito di prodotti e sistemi.
(ITSEC is a structured set of criteria for evaluating computer security
within products and systems)
LDAP
www.intesa.it
Lightweight Directory Access Protocol.
RFC 1777
RFC 2251
Pagina 10 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Termine o
acronimo
LRA
MO
NIST
NTP
Object Identifier
OID
PKC
PKCS
PKI
PKIX
PMI
Privilege
Management
Infrastructure
Public Key
Certificate
Significato
Riferimento
Local Registration Authority
Entità opzionale di una PKI con le responsabilità di una RA (vedi);
tale ruolo può essere affidato sia a dipendenti del Certificatore, sia a
Pubblici Ufficiali ai quali il Certificatore ha conferito specifici
incarichi, sia ad altri soggetti debitamente incaricati e autorizzati
dal Certificatore.
In ogni caso la responsabilità delle operazioni di registrazione,
identificazione e validazione è di INTESA S.p.A..
Manuale Operativo del Certificatore Accreditato INTESA
National Institute of Standards and Technology.
Network Time Protocol
RFC 1305
Protocollo per la sincronizzazione del tempo
Sequenza di numeri, registrata secondo la procedura definita dallo
standard ISO/IEC 6523, che identifica un determinato oggetto
all’interno di una gerarchia.
Object Identifier (vedi).
Public Key Certificate (vedi).
Public Key Cryptography Standard.
RSA Laboratories
Public e (vedi).
Gruppo di Lavoro (Working Group – WG) attivato dallo IETF
(vedi) per definire gli standard relativi a PKI basate su certificati
X.509 (da cui il nome di PKIX: PKI X.509 based certificate), che
poi diventeranno RFC.
Privilege Management Infrastructure (vedi).
L'insieme di AC, con i relativi AA, Titolari, utenti degli AC e
PKIX Road-map
registri di certificati.
(A collection of Acs, with their issuing AA's, subjects, relying parties, and
repositories)
Certificato di Chiave Pubblica: una struttura di dati contenente la
PKIX Road-map
chiave pubblica di una End Entity (vedi) e altre informazioni, che è
firmato in modo digitale con la chiave privata della CA (vedi) che
l'ha emesso.
(A data structure containing the public key of an end-entity and some
other information, which is digitally signed with the private key of the CA
which issued it)
Public Key
Infrastructure
Insieme di hardware, software, persone, norme e procedure
necessarie per creare, gestire, conservare, distribuire e revocare i
PKC basati su crittografia a chiave pubblica.
PKIX Road-map
(The set of hardware, software, people, policies and procedures needed to
create, manage, store, distribute, and revoke PKCs based on public-key
cryptography)
RA
www.intesa.it
Registration Authority (vedi).
Pagina 11 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Termine o
acronimo
Registration
Authority
RFC
RIPEMD-160
Risk Assessment
Significato
Riferimento
Un'entità opzionale di una PKI, (separata dalla CA) che non firma RFC 2828
né i certificati né le CRL, ma ha la responsabilità di registrare o
verificare alcune o tutte le informazioni (in particolare modo le
identità dei Titolari) necessarie alla CA per emettere i certificati e PKIX Road-map
le CRL e per effettuare altre operazioni di gestione dei certificati.
Un'entità opzionale cui è data la responsabilità di effettuare alcune
mansioni amministrative necessarie alla registrazione dei Titolari,
quali: confermare l'identità del Titolare, confermare che il Titolare
ha il diritto che sul suo certificato siano riportati i dati richiesti,
verificare che è in possesso della chiave privata associata con la
chiave pubblica di cui è richiesta la certificazione.
An RFC (Request For Comments) is a document describing the
standards that make the Internet work
Funzione di hash crittografico a 160 bit
Un procedimento che:
RFC 2828
• individua in modo sistematico le principali risorse di un sistema
e le minacce cui possono essere esposte;
• valuta i potenziali rischi di perdite e danni in base ad una stima
della frequenza con cui possono presentarsi le minacce stesse e
del costo che deriverebbe da un loro eventuale successo;
• (opzionalmente) fornisce raccomandazioni su come mettere in
atto contromisure in grado di ridurre al minimo il rischio
complessivo.
(A process that systematically identifies valuable system resources and
threats to those resources, quantifies loss exposures (i.e., loss potential)
based on estimated frequencies and costs of occurrence, and (optionally)
recommends how to allocate resources to countermeasures so as to
minimise total exposure)
Security Policy
Insieme di regole e norme che specificano o regolamentano le
RFC 2828
modalità con cui un sistema o un'organizzazione fornisce servizi di
sicurezza per proteggere risorse di sistema critiche o riservate.
(A set of rules and practices that specify or regulate how a system or
organisation provides security services to protect sensitive and critical
system resources)
SHA-1
SP
Terzo Interessato
www.intesa.it
Funzione di hash crittografico a 160 bit
Security Policy (vedi).
Persona fisica o giuridica, che dà il consenso a che il Titolare
richieda che nel certificato siano specificati eventuali poteri di
rappresentanza, titoli o cariche rivestite.
Pagina 12 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Termine o
acronimo
TSR
Titolare
Time Stamping
Authority
TOE
Significato
Riferimento
Time Stamp Request
Richiesta di marca temporale
Soggetto intestatario del certificato.
Autorità che rilascia marche temporali
RFC 3161
ETSI TS 102
023
Target Of Evaluation.
È quella parte di prodotto o sistema che è oggetto di valutazione e
comprende anche la relativa documentazione per la sua gestione e
utilizzo da parte di amministratori di sistema e di utenti finali.
(The TOE is that part of the product or system which is to be subjected to
evaluation, including its associated administrator and user guidance
documentation)
TSA
Time Stamping Authority (vedi)
TU
Testo Unico
DPR 445/2000 e sue successive modifiche Testo unico delle
disposizioni legislative e regolamentari in materia di
documentazione amministrativa
Uniform Resource Locator.
URL
UTC
www.intesa.it
Coordinated Universal Time
Scala del tempo basata sul secondo
ETSI TS 102
023
RFC 1738
RFC 1808
RFC 2368
ITU-R
Recommendatio
n TF,460-5
Pagina 13 di 31
Certificate Policy CNS – Ente Certificatore INTESA
B. Dati identificativi del Certificatore
Il Certificatore, di cui il presente documento costituisce la Certificate Policy dei Certificati
di Autenticazione per la Carta Nazionale dei Servizi, è la società In.Te.S.A. S.p.A., di cui di
seguito sono forniti i dati identificativi.
Denominazione sociale
In.Te.S.A. S.p.A.
Indirizzo della sede legale
Via Caraglio 84, 10141 Torino
Legale Rappresentante
Antonio Taurisano, Direttore Generale e
Amministratore Delegato
Registro delle Imprese di Torino
N. Iscrizione 1692/87
N. di Partita I.V.A.
05262890014
N. di telefono (centralino)
+39-011-0050.311
Sito Internet
www.intesa.it
N. di fax
+39-011-0050.475
Indirizzo di posta elettronica
[email protected]
Indirizzo (URL) registro dei
certificati
ldap://x500.e-trustcom.intesa.it
ISO Object Identifier (OID)
1.3.76.21.1
Il Certificato dell’Autorità di Certificazione INTESA, utilizzato per la sottoscrizione dei
certificati di autenticazione di CNS, è presente nella lista sottoscritta dal Centro Nazionale
per lnformatica nella Pubblica Amministrazione, disponibile sul sito del Dipartimento e sul
sito del Certificatore.
www.intesa.it
Pagina 14 di 31
Certificate Policy CNS – Ente Certificatore INTESA
C. Dati identificativi della versione della Certificate Policy
Il presente documento costituisce la versione n.01, rilasciata il 25/05/2007, della Certificate
Policy dei Certificati di Autenticazione per la Carta Nazionale dei Servizi del Certificatore
In.Te.S.A S.p.A.
L’object identifier di questo documento è 1.3.76.21.1.1.1.21.
La presente "Certificate Policy" è pubblicata e consultabile per via telematica anche presso
l'indirizzo Internet
http://e-trustcom.intesa.it/ca_pubblica/INTESA_CP_CNS.pdf
La pubblicazione di versioni aggiornate della presente policy sarà effettuata sul sito sopra
indicato solo successivamente al loro inoltro al Centro Nazionale per l’Informatica nella
Pubblica Amministrazione.
www.intesa.it
Pagina 15 di 31
Certificate Policy CNS – Ente Certificatore INTESA
D. Responsabile della Certificate Policy
La responsabilità del presente documento è di In.Te.S.A S.p.A., la quale ne cura la stesura,
la pubblicazione e l’aggiornamento.
Allo scopo di raccogliere eventuali osservazioni e richieste di chiarimenti, INTESA ha
predisposto i seguenti strumenti:
un recapito di posta elettronica: [email protected]
un recapito telefonico:
- per le chiamate dall’Italia 800.80.50.93
- per le chiamate dall’estero +39 011.52.41.999
un recapito fax: +39 011.00.50.475
Attraverso tali contatti saranno attivate le funzioni preposte a rispondere ovvero a risolvere
le questioni sollevate.
www.intesa.it
Pagina 16 di 31
Certificate Policy CNS – Ente Certificatore INTESA
E. Soggetti coinvolti nel processo di emissione della CNS
Per permettere una reale disponibilità dei servizi on-line sempre più presenti nella Pubblica
Amministrazione è stato necessario predisporre strumenti e modalità di accesso sicuri e
facili da utilizzare. Per evitare comunque la proliferazione di strumenti di identificazione
digitali non standard e non interoperabili, benché basati su certificati digitali, è stato pensata
e disegnata la Carta Nazionale dei Servizi (CNS).
Possono emettere la CNS tutte le Pubbliche Amministrazioni.
In particolare, il Decreto 9/12/2004 descrive i seguenti soggetti coinvolti nel circuito di
emissione della CNS:
-
Ente Emettitore: Ente responsabile della formazione e del rilascio della CNS; è la
Pubblica Amministrazione che rilascia la CNS ed è responsabile della sicurezza del
circuito di emissione e rilascio della carta, garantendone la corretta gestione del ciclo di
vita.
-
Produttore: Azienda che esegue le fasi di produzione secondo gli standard della CNS;
provvede alla fornitura delle carte a microprocessore con un chip compatibile con quello
previsto dalla CNS. Applica al supporto fisico l’artwork e gli elementi costanti.
-
Certificatore: Ente che presta servizi di certificazione delle informazioni necessarie per
l’autenticazione o per la verifica delle firme elettroniche.
Di seguito sono descritte le condizioni generali con cui il Certificatore INTESA eroga il
servizio di certificazione oggetto della presente policy.
E.1. Obblighi dell’Ente Emettitore
L’Ente Emettitore è responsabile delle seguenti attività:
- definire le procedure del sistema di emissione e gestione della CNS in modo da essere
conforme alle specifiche di qualità previste dalla norma ISO 9000 e soddisfare i requisiti
minimi di sicurezza previsti dalla normativa in particolare per quanto attiene al
trattamento dei dati personali (DLGS 196 30/06/03);
- predisporre un manuale operativo che riporti le procedure seguite per tutto il ciclo di vita
della CNS (emissione, gestione, revoca, rinnovo);
- predisporre un manuale utente che descriva le modalità d’uso della CNS;
- predisporre un piano di sicurezza relativo all’intero circuito di emissione;
- identificare e registrare i dati dei titolari mediante un documento di riconoscimento
valido;
- successivamente prima della personalizzazione della carta verificare i dati identificativi
utilizzando il sistema informativo del Ministero dell’Interno – Centro Nazionale dei
Servizi Demografici (fatto salvo quanto previsto dall’art. 9 del Decreto del Presidente
della Repubblica concernente regolamento recante disposizioni per la diffusione e uso
della carta nazionale dei servizi);
- comunicare al Certificatore tutti i dati acquisiti in fase di identificazione per permettere
l’attivazione della procedura di emissione del certificato;
www.intesa.it
Pagina 17 di 31
Certificate Policy CNS – Ente Certificatore INTESA
-
predisporre e/o affidare a terzi (ad esempio al Produttore) un sistema per la
personalizzazione della smartcard;
consegnare la CNS e i relativi codici PIN e PUK al titolare, previa verifica dell’identità
dello stesso;
allestire strutture per l’assistenza agli utenti, la gestione dei malfunzionamenti,
l’eventuale sostituzione o rinnovo delle carte in scadenza, il ritiro della CNS prima
dell’emissione di una nuova carta e del suo rinnovo.
E.2. Obblighi del Produttore
Il produttore delle smartcard deve rispettare le specifiche del sistema operativo e della
struttura della carta (file system) pubblicate sul sito del Centro Nazionale per l’Informatica
nella Pubblica Amministrazione.
Le attività a carico del Produttore sono le seguenti:
- produzione del supporto fisico della CNS;
- inizializzazione delle smartcard;
- creazione delle condizioni necessarie per controllare l’accesso ai file.
Ogni consegna di lotti di CNS deve essere accompagnata da distinta cartacea o elettronica,
da consegnare all’ente Emettitore, dalla quale si evinca il numero di CNS inizializzate ed i
relativi numeri seriali.
E.3. Obblighi del Certificatore
Il Certificatore è responsabile dell’emissione dei certificati di autenticazione della CNS sulla
base delle informazioni anagrafiche raccolte dall’Ente Emettitore durante la fase di
registrazione.
Presso il Centro Nazionale dell’Informatica per la Pubblica Amministrazione è disponibile
l’elenco dei Certificatori che rilasciano certificati di autenticazione CNS.
Il Certificatore si fa carico di:
- adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri;
- attenersi alle regole tecniche di cui all'Art.32 del CAD;
- informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e
sui necessari requisiti tecnici per accedervi;
- attenersi alle misure di sicurezza per il trattamento dei dati personali (DLGS 196
30/06/2003);
- rilasciare il certificato di autenticazione;
- non conservare la chiave privata corrispondente al certificato di autenticazione
- procedere alla pubblicazione della revoca e della sospensione del certificato elettronico
in caso di: richiesta da parte del Titolare o dell’Ente Emettitore, perdita del possesso
della chiave, provvedimento dell'autorità, acquisizione della conoscenza di cause
limitative della capacità del Titolare, sospetti abusi o falsificazioni;
www.intesa.it
Pagina 18 di 31
Certificate Policy CNS – Ente Certificatore INTESA
-
-
garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione,
nonché garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e
tempestivo;
assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di
sospensione dei certificati elettronici.
E.4. Obblighi dei Titolari
Il Titolare è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare
danno ad altri (CAD, Art.32).
Il Titolare della CNS deve inoltre:
- non essere Titolare di una carta d’identità elettronica;
- conservare con la massima diligenza le chiavi private e il dispositivo che le contiene, al
fine di garantirne l'integrità e la massima riservatezza;
- non duplicare le chiavi private né il dispositivo che le contiene;
- conservare le informazioni di abilitazione all'uso delle chiavi private in luogo diverso dal
dispositivo contenente le chiavi;
- conservare con la massima diligenza i codici segreti, al fine di garantirne la massima
riservatezza;
- non utilizzare le chiavi per funzioni diverse da quelle previste dalla loro tipologia;
- richiedere immediatamente la revoca dei certificati relativi alle chiavi contenute nel
dispositivo difettoso o di cui abbia perduto il possesso;
- sottoscrivere la richiesta di revoca specificandone la motivazione e la sua decorrenza;
- sottoscrivere la richiesta di sospensione specificando la motivazione.
E.5. Obblighi inerenti l’utilizzo un certificato
L’utilizzo dei certificati di autenticazione di CNS deve prevedere le seguenti operazioni:
- verificare la validità del certificato contenente la chiave pubblica del Titolare prima del
suo utilizzo;
- verificare l'assenza del certificato dalle Liste di Revoca (CRL) e Sospensione (CSL) dei
certificati e il momento della sua emissione;
- verificare la validità del percorso di certificazione, basandosi sull'elenco pubblico dei
certificatori fornito da CNIPA;
- verificare la validità della tipologia delle chiavi usate dal Titolare, in base alle estensioni
dello standard ISO 9594-8;
- verificare l’ambito di utilizzo del certificato, le limitazioni di responsabilità e i limiti di
indennizzo del Certificatore e dell’Ente Emettitore;
- adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.
www.intesa.it
Pagina 19 di 31
Certificate Policy CNS – Ente Certificatore INTESA
F. Responsabilità e limitazioni agli indennizzi
F.1. Responsabilità del Certificatore
INTESA è responsabile, verso i Titolari, per l'adempimento di tutti gli obblighi discendenti
dall'espletamento delle attività previste dal CAD, dal DPCM 13/01/04, dal Decreto
9/12/2004, dalla Legge 196/03 e successive modificazioni e integrazioni (Vedi paragrafo E.3
"Obblighi del Certificatore").
INTESA non assume altresì responsabilità per le conseguenze derivanti dal mancato rispetto
delle modalità operative specificate in questa Certificate Policy da parte del Titolare e degli
utilizzatori dei certificati.
INTESA non potrà essere ritenuta responsabile delle conseguenze dovute a cause ad essa
non imputabili, quali, a solo titolo di esempio: calamità naturali, disfunzioni tecniche e
logistiche al di fuori del suo controllo, interventi dell'autorità, rivolte o atti di guerra che
colpiscano anche o solo i soggetti delle cui attività INTESA si avvale per la prestazione dei
propri servizi di certificazione.
F.2. Assicurazione
Il Certificatore ha stipulato un contratto assicurativo per la copertura dei rischi dell'attività e
dei danni causati a terzi, il cui contenuto è in linea con quanto necessario per svolgere
l'attività professionale di cui trattasi.
Di tale contratto è stato inviata al Centro Nazionale per l’Informatica nella Pubblica
Amministrazione apposita dichiarazione di stipula.
La copertura Assicurativa prevede i seguenti massimali:
250.000,00 (cinquecentomila) euro per singolo sinistro
1.500.000,00 (duemilionicinquecentomila) euro per annualità.
F.3. Limitazioni agli indennizzi
Il Certificatore, fatto salvo i casi di dolo e colpa grave, esclude ogni responsabilità per danni
subiti dagli utenti o da terzi in conseguenza di:
mancato rispetto delle procedure e delle regole stabilite dal Certificatore stesso;
danno causato da disservizio;
uso improprio dei certificati di autenticazione da parte di applicazioni di terze parti.
Il Certificatore non si ritiene, peraltro, responsabile dei danni causati agli utenti Titolari e
utilizzatori o a terzi conseguenti al non rispetto, da parte del Titolare, delle regole definite
nella presente Certificate Policy.
www.intesa.it
Pagina 20 di 31
Certificate Policy CNS – Ente Certificatore INTESA
G. Tariffe
Sono previste tariffe relative all’emissione ed al rinnovo del Certificato di Autenticazione di
CNS.
Tali tariffe, disponibili presso gli Uffici del Certificatore, sono in funzione delle quantità
trattate e soggette all’andamento del mercato
Le richieste di revoca e sospensione del certificato di autenticazione sono gratuite.
www.intesa.it
Pagina 21 di 31
Certificate Policy CNS – Ente Certificatore INTESA
H. Modalità di identificazione e registrazione degli utenti
H.1. Identificazione degli utenti
L’attività di identificazione dei Richiedenti i certificati CNS viene svolta dall’Ente
Emettitore, che ricopre anche il ruolo di LRA esterna per i certificati di sottoscrizione
presenti sulla stessa CNS, secondo la modalità prevista nel documento MO.
Le modalità operative necessarie all’identificazione e autenticazione del Richiedente sono
riportate nel Manuale Operativo dell’Ente Emettitore.
H.2. Registrazione degli utenti
Successivamente alla fase di identificazione, l’Ente Emettitore invia al Certificatore i dati
dei Richiedenti in lotti; la comunicazione viene sempre rigorosamente effettuata su canale
sicuro.
Il personale dell’Ufficio RA di INTESA provvede quindi alla registrazione dei dati dei
Titolari sugli archivi del Certificatore.
www.intesa.it
Pagina 22 di 31
Certificate Policy CNS – Ente Certificatore INTESA
I. Chiavi di Certificazione
Il sistema di PKI utilizzato dal Certificatore per l’emissione dei certificati di autenticazione
di CNS è lo stesso utilizzato per l’emissione dei certificati qualificati.
In particolare, per la firma dei certificati vengono utilizzate le stesse chiavi di certificazione.
Si rimanda pertanto al documento MO per la descrizione della gestione del sistema da parte
del Certificatore.
www.intesa.it
Pagina 23 di 31
Certificate Policy CNS – Ente Certificatore INTESA
J. Modalità di emissione dei certificati di CNS
Nel seguito viene descritto il processo di emissione dei certificati di CNS da parte del
Certificatore INTESA, con il dettaglio del flusso informativo tra i vari attori nello
svolgimento delle attività previste.
Il processo presuppone che l’attività di personalizzazione della CNS sia eseguita dal
Produttore delle smartcard di CNS, essendo comunque sempre di responsabilità dell’Ente
Emettitore, in conformità a LG 09/05/2005 e successive.
Lo schema seguente illustra sinteticamente le diverse fasi del processo:
Il responsabile della registrazione
raccoglie i dati dei richiedenti e li
invia in lotti al Certificatore
attraverso canale sicuro
Ente
Emettitore
L’Ente Emettitore si occupa
della distribuzione delle CNS e
delle buste cieche ai Titolari
------------------------------------------------------------------------------------------------------------
Certificatore
Il Certificatore, tramite il proprio
ufficio di Registration Authority,
genera i certificati di autenticazione
che devono essere immessi a bordo
delle carte e invia i corrispondenti file
P12 al Produttore mediante canale
sicuro
Il responsabile del processo
presso il Certificatore invia i
lotti di CNS e le buste
cieche con i codici di
accesso all’Ente Emettitore
mediante trasporto sicuro
Il Certificatore produce, ove
richiesto, il certificato di
sottoscrizione per ogni
richiedente e lo immette a bordo
delle corrispondenti carte
------------------------------------------------------------------------------------------------------------
Produttore
www.intesa.it
L’addetto incaricato
produce le carte con la
grafica personalizzata e
immette a bordo i file P12
Il responsabile del processo di
produzione invia le carte al
Certificatore mediante trasporto
sicuro
Pagina 24 di 31
Certificate Policy CNS – Ente Certificatore INTESA
INTESA, in qualità di Certificatore, procederà all’identificazione di tutte le figure esterne
coinvolte nel processo di emissione, in modo analogo a quanto previsto nell’ambito del
servizio di certificazione della firma digitale.
Le varie fasi del processo di emissione possono essere così descritte:
Fase1: L’Ente Emettitore, come previsto da LG 09/05/2005 e successive, per
l’emissione dei certificati qualificati svolge funzioni di LRA per le fasi di
identificazione del cittadino per conto del Certificatore. Tale funzione è descritta nel
documento MO. L’identificazione dei Richiedenti per i certificati di autenticazione è
completamente a carico dell’Ente Emettitore. Il personale incaricato raccoglie i dati
anagrafici dei titolari e provvede alla creazione dei file di input necessari per
generare il/i certificato/i da immettere a bordo della smartcard. Per la raccolta dei
dati, gli incaricati possono utilizzare un apposito applicativo sviluppato da INTESA
che garantisce la completezza e l’integrità delle informazioni fornite.
I dati necessari per la generazione del certificato di autenticazione sono i seguenti:
•
Codice Emettitore
•
Cognome
•
Nome
•
Data di Nascita
•
Codice Fiscale.
Nel caso il Richiedente della CNS abbia effettuato anche la richiesta di certificato
qualificato e tale richiesta sia stata accettata dall’Ente Emettitore tramite verifica
delle credenziali, ai dati per l’emissione del certificato di autenticazione saranno
aggiunti anche quelli relativi alla firma qualificata.
I file contenenti i dati personali dei Richiedenti la CNS, secondo la tabella di
“Definizione dei Dati Personali” di LG 09/05/2005 e successive, vengono inviati ad
INTESA su canale sicuro, utilizzando sistemi di crittografia simmetrica di lunghezza
pari a 128 bit, come richiesto dallo stesso documento.
Fase 2: L’incaricato della gestione presso il Certificatore effettua un controllo
formale sui dati ricevuti dall’Ente Emettitore e produce i certificati di autenticazione,
generando un file in formato pkcs#12 per ogni Richiedente ed un unico file in
formato testo contenente tutti i dati personali. I dati così ottenuti vengono inviati al
Produttore tramite canale sicuro.
www.intesa.it
Pagina 25 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Fase 3: Il Produttore incarica un responsabile della messa in produzione del lotto di
smartcard. Mediante una postazione di produzione massiva vengono prodotte le
smartcard e su ognuna, nell’area “Dati personali”, vengono inserite le seguenti
informazioni:
•
il certificato di autenticazione
•
chiave privata relativa al certificato di autenticazione
•
dati personali.
Fase 4: Le CNS così prodotte e le relative buste cieche contenenti il codice PUK, per
lo sblocco della carta, vengono inviate al Certificatore, predisponendo le opportune
misure di sicurezza fisica per la protezione delle carte e delle buste durante lo
spostamento delle stesse, facendole accompagnare da regolari bolle di consegna che
saranno verificate dal responsabile della Sicurezza del Certificatore.
Fase 5: Il Certificatore aggiunge, se richiesto, il certificato di sottoscrizione per ogni
Richiedente con le modalità e le regole valide per questo tipo di certificato, illustrate
nel documento MO. Per ogni smartcard sono inoltre generate le buste cieche
contenenti i codici PIN di accesso alle chiavi private corrispondenti ai certificati
presenti.
Fase 6: Il responsabile del processo presso il Certificatore invia i lotti di carte CNS
(e relative buste cieche) prodotti all’Ente Emettitore, predisponendo le opportune
misure di sicurezza fisica di protezione delle carte e delle buste. A tale scopo
vengono utilizzati trasporti con regolari bolle di consegna.
Fase 7: L’ultima fase riguarda la distribuzione ai titolari delle carte CNS con a bordo
i certificati richiesti. L’Ente Emettitore procede alla distribuzione delle CNS e delle
relative buste cieche.
www.intesa.it
Pagina 26 di 31
Certificate Policy CNS – Ente Certificatore INTESA
K. Informazioni contenute nei certificati di autenticazione
Il profilo del certificato generato è conforme a quanto indicato nel sito del CNIPA
www.cnipa.gov.it
www.intesa.it
Pagina 27 di 31
Certificate Policy CNS – Ente Certificatore INTESA
L. Modalità di rinnovo, revoca e sospensione dei certificati di
autenticazione di CNS
L.1. Rinnovo dei certificati di autenticazione di CNS
La validità di un certificato di autenticazione per CNS viene stabilita dall’Ente Emettitore.
All’approssimarsi della scadenza di un certificato ne viene emesso uno nuovo con gli stessi
dati, su richiesta di rinnovo del Titolare. Il rinnovo consiste nella generazione di una nuova
coppia di chiavi sostitutiva di quella in scadenza e nella conseguente certificazione della
nuova chiave pubblica.
La procedura per il rinnovo del certificato è descritta nel manuale operativo dell’Ente
Emettitore.
L.2. Revoca dei certificati di autenticazione di CNS
La revoca o la sospensione dei certificati di CNS viene eseguita su iniziativa del
Certificatore, su richiesta dell’Ente Emettitore ovvero del Titolare.
La revoca o la sospensione dei certificati di CNS viene asseverata dal loro inserimento nella
lista (CRL), che contiene sia quelli revocati sia quelli sospesi.
Il profilo delle CRL/CSL è conforme con lo RFC 3280.
La CRL, firmata dal Certificatore, viene aggiornata con periodicità prestabilita.
Nei casi in cui la revoca ovvero la sospensione avvengano su iniziativa del Certificatore o
dell’Ente Emettitore, il Certificatore notifica al Titolare la richiesta e il momento in cui
entrerà in vigore l'evento.
Un certificato di autenticazione di CNS deve essere revocato nei seguenti casi:
compromissione (ovvero perdita delle caratteristiche di sicurezza e univocità) della
chiave privata del Titolare;
cambiamento dei dati del Titolare;
cessazione dalle mansioni per le quali sono stati rilasciati i certificati al Titolare;
mancato rispetto da parte del Titolare degli obblighi specificati nel presente
documento ovvero nel Manuale Operativo dell’Ente Emettitore.
La revoca del certificato di autenticazione da parte del Certificatore sarà effettuata nell’arco
delle 24 ore successive alla ricezione della richiesta.
In tutti i casi, sarà cura dell’Ente Emettitore ritirare la CNS contenente il certificato
revocato/sospeso ed eventualmente provvedere alla emissione di una nuova. A tale scopo si
rimanda al Manuale Operativo dell’Ente Emettitore.
L.2.1. Revoca su richiesta del Titolare
Nei casi in cui il Titolare necessiti di richiedere la revoca del certificato di CNS, dovrà
compilare il modulo di Richiesta di Revoca disponibile presso il sito del Certificatore.
www.intesa.it
Pagina 28 di 31
Certificate Policy CNS – Ente Certificatore INTESA
Il documento dovrà essere inviato al Certificatore con le seguenti modalità:
1.
invio di un messaggio di posta elettronica all'indirizzo [email protected] con allegato il
documento di richiesta di revoca compilato e firmato elettronicamente, nel caso il cui il
Titolare disponga di un certificato di firma qualificata;
2.
invio di un messaggio di posta elettronica all'indirizzo [email protected]a.it con allegato il
documento di richiesta di revoca compilato;
3.
invio del documento di richiesta di revoca compilato via fax al numero indicato all’URL
http://www.hda.intesa.it/, oppure via posta ordinaria, all’indirizzo sempre indicato
all’URL http://www.hda.intesa.it/.
Nei casi 2. e 3. il Titolare sarà contattato dal personale INTESA per la comunicazione del
Codice di Emergenza.
Eccezionalmente, nel caso in cui la motivazione della richiesta di revoca sia la
compromissione della chiave privata, il Titolare potrà telefonare al numero indicato dal
Certificatore al momento del rilascio del certificato a lui intestato, fornendo i dati relativi al
certificato e il Codice di Emergenza. In questo caso il certificato indicato sarà
temporaneamente sospeso in attesa della richiesta scritta del Titolare.
L.2.2. Revoca su richiesta dell’Ente Emettitore
La richiesta di revoca da parte dell’Ente Emettitore può avvenire secondo le modalità
elencate nei punti 2. e 3. del precedente paragrafo.
L.2.3. Revoca su iniziativa del Certificatore
Il Certificatore può revocare i certificati di autenticazione, informando anticipatamente della
revoca sia Titolari interessati sia l’Ente Emettitore, dando indicazione del motivo della
revoca e della data di decorrenza.
L.3. Sospensione dei certificati di autenticazione di CNS
Modalità analoghe a quelle seguite per la revoca dei certificati verranno seguite anche in
caso di una loro sospensione.
La sospensione di un certificato è prevista nel caso in cui si debba fare un supplemento di
indagine per verificare se debba essere revocato o no (ad esempio nei casi in cui si tema la
compromissione della chiave privata o lo smarrimento/furto del dispositivo di firma, o si
debbano fare riscontri per avere certezza dell'effettiva cessazione del Titolare dalla mansione
per la quale gli era stato emesso il certificato, ecc.).
www.intesa.it
Pagina 29 di 31
Certificate Policy CNS – Ente Certificatore INTESA
La richiesta di sospensione può essere avanzata dal Certificatore, dall’Ente Emettitore e dal
Titolare.
Sarà cura del richiedente comunicare con modalità analoghe a quelle utilizzate per la
richiesta di sospensione, la richiesta di riattivazione o di revoca del certificato
precedentemente sospeso.
In assenza di comunicazioni, il certificato verrà automaticamente revocato dopo un periodo
di 10 (dieci) giorni dalla sospensione.
www.intesa.it
Pagina 30 di 31
Certificate Policy CNS – Ente Certificatore INTESA
M. Gestione della Sicurezza
Le procedure operative e di sicurezza del Certificatore sono soggette a controlli periodici
legati alle verifiche ispettive per la certificazione di qualità ISO9001 e alle verifiche di
auditing interno.
I processi per la gestione dei certificati di autenticazione sono articolati secondo tre livelli di
sicurezza:
livello logico: misure hardware e software per garantire la sicurezza, per esempio,
del trasporto dei dati nelle varie fasi del processo;
livello procedurale: misure organizzative;
livello fisico: sicurezza degli ambienti in cui vengono prodotti e trattati i dati relativi
ai certificati.
Mediante la gestione sopra descritta si evita l’intercettazione non autorizzata dei dati, si
garantisce la riservatezza delle informazioni e si evitano rischi conseguenti ad un eventuale
malfunzionamento dei sistemi.
www.intesa.it
Pagina 31 di 31

Documenti analoghi

Certificati di Autenticazione per la Carta Nazionale dei Servizi

Certificati di Autenticazione per la Carta Nazionale dei Servizi [5] Decreto Legislativo 30 giugno 2003, n. 196 (G.U. n. 174 del 29 luglio 2003) [6] Decreto del Presidente della Repubblica 2 marzo 2004, n. 117 (G.U. n. 105 del 06/05/2004) [7] Regole tecniche per...

Dettagli

CNS Manuale operativo per certificati emessi fino al 5 ottobre 2011

CNS Manuale operativo per certificati emessi fino al 5 ottobre 2011 [4]Decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004 (G. U. n. 98 del 27/04/2004) [5]Decreto Legislativo 30 giugno 2003, n. 196 (G.U. n. 174 del 29 luglio 2003) [6]Decreto del Presi...

Dettagli

Manuale - Agenzia per l`Italia Digitale

Manuale - Agenzia per l`Italia Digitale Guasto al dispositivo sicuro di firma del Certificatore .................................................... 50

Dettagli