Banca Intesa ad Beograd Digitrust CP pravna lica 05

Banca Intesa ad Beograd Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87

Sertifikaciono telo Banca Intesa ad Beograd za eksterne korisnike

Politika sertifikacije

Pravna lica – Eksterni korisnici

Sertifikati koji se izdaju u okviru ove Politike sertifikacije:

� Sertifikat za pravna lica – e-banking na smart kart ici OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)

� Sertifikat za pravna lica – web krediti na smart ka rtici

OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)

� Sertifikat za pravna lica – Broker assistance na sm art kartici OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)

� Sertifikat za pravna lica – partnere na smart karti ci OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)

– verzija 0.5 –

Beograd, Juni 2010.


2

Sadržaj 1. Uvod i pregled osnovnih pretpostavki ........................................................................ 5

1.1 Osnovne pretpostavke ................................................................................................. 5 1.1.1 Osnovni dokumenti rada Banca Intesa Beograd CA ....................................... 6 1.1.2 Meñusobni odnos osnovnih dokumenata rada Banca Intesa Beograd CA.. 6 1.1.3 Standardi................................................................................................................. 6 1.1.4 Posebna interna pravila rada............................................................................... 7

1.2 Sertifikati Banca Intesa Beograd CA ......................................................................... 7 1.3 OID struktura Banca Intesa Beograd CA .................................................................. 9 1.4 Identifikacija ................................................................................................................. 11 1.5 Okruženje i primenljivost Politike sertifikacije......................................................... 12

1.5.1 Banca Intesa Beograd CA.................................................................................. 12 1.5.2 Hijerarhijska struktura Banca Intesa Beograd CA.......................................... 12 1.5.3 Registraciona tela Banca Intesa Beograd CA................................................. 14 1.5.4 Korisnici................................................................................................................. 15 1.5.5 Treće strane ......................................................................................................... 16 1.5.6 Ispravno korišćenje sertifikata ........................................................................... 16 1.5.7 Definicije................................................................................................................ 17 1.5.8 Kontaktni detalji.................................................................................................... 21

1.6 Opšte odredbe............................................................................................................. 21 1.6.1 Obaveze ................................................................................................................ 21

2. Publikovanje i repozitorijumi ....................................................................................... 26 3. Identifikacija i autentifikacija korisnika ..................................................................... 27

3.1 Nazivi ............................................................................................................................ 27 3.2 Inicijalna provera identiteta........................................................................................ 28 3.3 Identifikacija i autentifikacija zahteva za obnavljanje ključeva ............................ 29 3.4 Identifikacija i autentifikacija zahteva za povlačenje sertifikata ........................... 29

4. Operativni zahtevi u vezi životnog ciklusa serti fikata ........................................... 30 4.1 Aplikacija za dobijanje sertifikata.............................................................................. 30 4.2 Procesiranje aplikacije za dobijanje sertifikata....................................................... 30 4.3 Izdavanje sertifikata .................................................................................................... 31 4.4 Prihvatanje sertifikata ................................................................................................. 31 4.5 Korišćenje sertifikata i asimetričnog para ključa .................................................... 32 4.6 Obnavljanje sertifikata................................................................................................ 32 4.7 Generisanje novog para ključeva i sertifikata korisnika........................................ 33 4.8 Modifikacije sertifikata korisnika ............................................................................... 33 4.9 Suspenzija i povlačenje sertifikata ........................................................................... 33

4.9.1 Povlačenje sertifikata .......................................................................................... 33 4.9.2 Suspenzija sertifikata .......................................................................................... 34

4.10 Servisi provere statusa sertifikata .......................................................................... 35 4.11 Prestanak korišćenja sertifikata.............................................................................. 35 4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika............................................. 35

5. Upravne, operativne i fizi čke bezbednosne kontrole ............................................ 37


3

5.1 Fizičke bezbednosne kontrole .................................................................................. 37 5.2 Proceduralne kontrole ................................................................................................ 37 5.3 Kadrovske bezbednosne kontrole............................................................................ 38

5.3.1 Kvalifikacija i iskustvo ......................................................................................... 38 5.3.2 Procedura provere biografije ............................................................................. 39 5.3.3 Zahtevi za obučenošću....................................................................................... 39 5.3.4 Ponovna obuka .................................................................................................... 39 5.3.5 Rotacija poslova................................................................................................... 39 5.3.6 Kaznene mere u odnosu na zaposlene ........................................................... 39 5.3.7 Kontrole nezavisnih lica pod ugovorom ........................................................... 39 5.3.8 Dokumentacija za inicijalnu obuku i ponovnu obuku ..................................... 39

5.4 Procedure bezbednosnih provera/revizije .............................................................. 39 5.5 Arhiviranje zapisa........................................................................................................ 40 5.6 Izmena ključeva........................................................................................................... 41 5.7 Kompromitacija i oporavak u slučaju katastrofe..................................................... 41 5.8 Završetak rada CA ili RA ........................................................................................... 42

6. Tehničke bezbednosne kontrole ................................................................................. 43 6.1 Generisanje i instalacija asimetričnog para ključeva ............................................ 43

6.1.1 Proces generisanja privatnog ključa Banca Intesa Beograd CA ................. 43 6.1.2 Generisanje ključa Banca Intesa Beograd CA................................................ 44 6.1.3 Ureñaji za generisanje ključeva Banca Intesa Beograd CA ......................... 44 6.1.4 Kontrole generisanja ključeva Banca Intesa Beograd CA ............................ 44

6.2 Zaštita privatnog ključa .............................................................................................. 45 6.2.1 Čuvanje privatnog ključa Banca Intesa Beograd CA ..................................... 45 6.2.2 Distribucija deljenih tajni za aktivaciju privatnog ključa Banca Intesa Beograd CA .................................................................................................................... 46 6.2.3 Uništavanje privatnog ključa Banca Intesa Beograd CA............................... 46

6.3 Neki aspekti upravljanja parom ključeva ................................................................. 47 6.4 Aktivacioni podaci ....................................................................................................... 47 6.5 Bezbednosne kontrole računara............................................................................... 47 6.6 Životni ciklus bezbednosnih kontrola ....................................................................... 47 6.7 Mrežne bezbednosne kontrole ................................................................................. 47 6.8 Vremenski pečat ......................................................................................................... 47

7. Profili sertifikata i CRL lista ......................................................................................... 48 7.1 Profili sertifikata ........................................................................................................... 48

7.1.1 Opšti profil sertifikata........................................................................................... 49 7.1.2 Profil Root CA sertifikata Banca Intesa Beograd CA ..................................... 50 7.1.3 Profil Intermediate CA sertifikata Banca Intesa Beograd CA ....................... 50 7.1.3 Profil sertifikata korisnika – pravnog lica Banca Intesa Beograd CA .......... 51

7.2 Profil CRL liste............................................................................................................. 52 7.3 OCSP profil .................................................................................................................. 52

8. Provera saglasnosti sa Politikom sertifikacije ........................................................ 53 9. Drugi poslovni i pravni aspekti ................................................................................... 54

9.1 Cene.............................................................................................................................. 54 9.2 Finansijska odgovornost ............................................................................................ 54 9.3 Poverljivost poslovnih informacija ............................................................................ 55 9.4 Privatnost i zaštita personalnih informacija ............................................................ 55 9.5 Prava intelektualnog vlasništva ................................................................................ 56


4

9.6 Predstavljanje i garancije........................................................................................... 56 9.7 Nepriznavanje garancije ............................................................................................ 56 9.8 Ograničenja odgovornosti.......................................................................................... 56 9.9 Odštete ......................................................................................................................... 57 9.10 Period važnosti i kraj validnosti Politike sertifikacije ........................................... 57 9.11 Pojedinačna obaveštenja i komunikacija sa učesnicima.................................... 57 9.12 Ispravke ...................................................................................................................... 57 9.13 Procedure rešavanja sporova................................................................................. 57 9.14 Zakon koji se poštuje ............................................................................................... 57 9.15 Saglasnost sa primenljivim zakonima ................................................................... 58 9.16 Razne odredbe.......................................................................................................... 58 9.17 Druge odredbe .......................................................................................................... 58


5

1. Uvod i pregled osnovnih pretpostavki

Sertifikaciono telo Banca Intesa ad Beograd za eksterne korisnike (u nastavku: Banca Intesa Beograd CA) izdaje elektronske sertifikate tako što formira elektronski potpis sertifikata na osnovu svog privatnog ključa i asimetričnog kriptografskog algoritma. U tako formiranom elektronskom sertifikatu, Banca Intesa Beograd CA se identifikuje kao izdavalac elektronskog sertifikata, ili eventualno izdavalac kvalifikovanog elektronskog sertifikata u skladu sa Zakonom o elektronskom potpisu i odgovarajućim podzakonskim aktima. Ukoliko to bude aktuelno, Banca Intesa Beograd CA će izdavati kvalifikovane elektronske sertifikate korisnika u skladu sa dokumentima ETSI ESI TS 101 862 „Qualified Certificate Profile”, RFC 3739 „Internet X.509 Public Key Infrastructure: Qualified Certificates Profile“, RFC 5280 „Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile” i ETSI TS 102 280 „X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa obaveznim sadržajem definisanim u članu 17. Zakona o elektronskom potpisu Republike Srbije (u daljem tekstu: Zakon).

1.1 Osnovne pretpostavke

Banca Intesa Beograd CA je odgovorno za pružanje kompletnih usluga sertifikacije, koje uključuju sledeće servise, i to:

� Registraciju korisnika,

� Formiranje elektronskih sertifikata,

� Distribuciju elektronskih sertifikata korisnicima,

� Upravljanje procedurom opoziva elektronskih sertifikata i

� Obezbeñivanje statusa opozvanosti elektronskih sertifikata.

Banca Intesa Beograd CA može, pored navedenih servisa, da obezbedi i formiranje asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i sertifikata korisniku na bezbedan način. Banca Intesa Beograd CA može da obezbedi i sredstvo za formiranje elektronskog i kvalifikovanog elektronskog potpisa korisnicima i pridruženu lozinku (ili PIN kod) za aktivaciju sredstva, kao i njihovu bezbednu distribuciju do korisnika.


6

1.1.1 Osnovni dokumenti rada Banca Intesa Beograd C A

Banca Intesa Beograd CA utvrñuje Opšta interna pravila pružanja usluge sertifikacije (u daljem tekstu: Opšta pravila) u skladu sa Zakonom koja korisnicima obezbeñuju dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu usluga. Opšta pravila sertifikacije Banca Intesa Beograd CA ugrañuju se u dokumenta:

1. Politika sertifikacije (Certificate Policy) – ovaj dokument;

2. Praktična pravila pružanja usluge Sertifikacije (Certification Practices Statement) (u daljem tekstu: Praktična pravila).

Politika sertifikacije i Praktična pravila su javni dokumenti. Politika sertifikacije definiše predmet rada sertifikacionog tela, dok Praktična pravila definišu procese i način njihovog korišćenja pri formiranju i upravljanju kvalifikovanim elektronskim sertifikatima.

1.1.2 Meñusobni odnos osnovnih dokumenata rada Banca Intesa Beograd CA

Politika sertifikacije definiše zahteve poslovanja sertifikacionog tela, dok Praktična pravila definišu operativne procedure u cilju ispunjenja tih zahteva. Praktična pravila definišu način na koji sertifikaciono telo ispunjava tehničke, organizacione i proceduralne zahteve poslovanja koji su identifikovani u Politici sertifikacije. Politika sertifikacije je manje specifičan i detaljan dokument u odnosu na Praktična pravila koja predstavljaju mnogo detaljniji opis načina poslovanja, kao i poslovne i operativne procedure koje sertifikaciono telo primenjuje u izdavanju i upravljanju kvalifikovanim elektronskim sertifikatima. Politika sertifikacije se definiše nezavisno od specifičnog operativnog okruženja sertifikacionog tela, dok Praktična pravila daju detaljan opis organizacione strukture, operativnih procedura, kao i fizičko i računarsko okruženje sertifikacionog tela.

1.1.3 Standardi

Opšta pravila funkcionisanja Banca Intesa Beograd CA su u skladu sa dokumentima RFC 3647 „Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework” i ETSI TS 101 456 „Policy Requirements for Certification Authorities Issuing Qualified Certificates”.


7

1.1.4 Posebna interna pravila rada

Banca Intesa Beograd CA utvrñuje i Posebna interna pravila rada sertifikacionog tela i zaštite sistema sertifikacije (u daljem tekstu: Posebna pravila) u kojima su sadržani i detaljno opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja elektronskim sertifikatima i kvalifikovanim elektronskim sertifikatima. Posebna pravila su privatni dokument i predstavljaju poslovnu tajnu sertifikacionog tela. Posebna pravila sadrže detaljne odredbe o:

� sistemu fizičke kontrole pristupa u pojedine prostorije sertifikacionog tela;

� sistemu logičke kontrole pristupa računarskim resursima sertifikacionog tela;

� sistemu za čuvanje privatnog ključa sertifikacionog tela;

� sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa sertifikacionog tela;

� postupcima i radnjama u vanrednim situacijama (požari, poplave, zemljotresi, druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem sertifikacionog tela).

Banca Intesa Beograd CA će biti evidentirano od strane Nadležnog organa i biće predmet periodične supervizije u cilju osiguravanja saglasnosti sa zahtevima navedenim u Zakonu o elektronskom potpisu i odgovarajućim podzakonskim aktima.

1.2 Sertifikati Banca Intesa Beograd CA

Banca Intesa Beograd CA infrastruktura sistema sa javnim ključevima (PKI – Public Key Infrastructure sistem) je odgovorna za izdavanje sledećih vrsta sertifikata:

� Root CA za interne i eksterne korisnike – na smart kartici;

� Intermediate CA za eksterne korisnike – na smart kartici;

� Intermediate CA (Microsoft - Enterprise) za interne korisnike;

� Intermediate CA (Microsoft – Standalone) za uspostavu interne VPN (IPSec) mreže u Banci – Enterprise VPN

� (Opciono) različiti Intermediate CA sertifikati

� Sertifikati internih korisnika

o Zaposleni Banke – elektronski sertifikat na smart kartici – CID (Corporate ID)

o AdminWeb korisnici – elektronski sertifikat na smart kartici (posebna smart kartica)


8

o Poslovni saradnici - pojedinci iz partnerskih firmi – elektronski sertifikat na smart kartici (USB smart card token – iKey) za udaljeni pristup mreži Banke (VPN (IPSec))

� Sertifikati eksternih korisnika

o Fizička lica

� Za fizička lica – na mini CD medijumu za potrebe elektronskog home banking sistema – elektronski sertifikat (generički),

� (Opciono) Za fizička lica za potrebe realizacije elektronskog home banking sistema – na smart kartici – Maestro multiaplikativna EMV platna kartice – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za fizička lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o Pravna lica

� Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva Banca Intesa ad Beograd – na smart kartici – e-banking kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Za pravna lica – aplikacija web krediti - na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Za pravna lica – aplikacija Broker assistance – na smart kartici - elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica koja žele da budu CA u okviru PKI sistema Banca Intesa ad Beograd – (opciono) root signing program elektronski sertifikat,

� Sertifikati informacionih resursa – bez smart kartice (kako za interne tako i za eksterne korisnike):

o Za zaštitu e-mail sistema

o SSL sertifikati

o Code Signing sertifikati

o VPN (IPSec) sertifikati


9

Ova Politika sertifikacihe je namenjena definisanju uslova za pružanje sertifikacionih usluga od strane Banca Intesa Beograd CA za eksterne korisnike - pravna lica . U okviru Praktičnih pravila rada (CPS – Sertificate Practise Statement) biće opisani konkretni detalji oko implementacije i procedura rada Banca Intesa Beograd CA.

1.3 OID struktura Banca Intesa Beograd CA

U ovom poglavlju je definisana OID (Object IDentifier) struktura za potrebe Politika sertifikacije i CPS-a koja se koristi pri izdavanju sertifikata u okviru PKI sistema Banca Intesa ad Beograd. Predlog se bazira na sledećoj strukturi: 1.3.6.1.4.1.24885.a.b.c.d.e.f.(g.h) Broj 1.3.6.1.4.1 predstavlja opšti prefiks za private-enterprize broj sa sajta: http://www.iana.org/assignments/smi-numbers, 24885 je Private Enterprize Number (PEN) dodeljen za Banca Intesa ad Beograd. Slova iza PEN-a imaju sledeća predložena značenja: a. Tip dokumenta

1 – Certificate Policy

2 – CPS

3 – neki drugi tip dokumenta

b. Globalni tip korisnika

1 – Interni korisnici

2 – Eksterni korisnici

c. Karakteristični tip korisnika

1 – Fizička lica

2 – Pravna lica

3 – Informacioni resursi

d. Posebni korisnici

b=1

1 – Zaposleni

2 – Admin Web korisnici

3 – Pojedinci iz partnerskih firmi


10

b=2

c=1

1 – Fizička lica – generički sertifikat

2 – Fizička lica – smart kartica (Maestro)

3 – Fizička lica – partneri – smart kartica

c=2

1 – Pravna lica – e-banking – smart kartica

2 – Pravna lica – web krediti – smart kartica

3 – Pravna lica – Broker assistance – smart kartica

4 – Pravna lica – partneri – smart kartica

b=1 ili 2

c=3

1 – E-mail sertifikat za automatsko slanje mailova

2 – SSL sertifikat

3 – Code Signing sertifikat

4 – VPN (IPSec) sertifikat

e. Način distribucije sertifikata

1 – Softverski sertifikati

2 – Mini CD

3 – Smart kartica

4 – SSCD smart kartica

f. Tip sertifikata

1 – Standardni ITU-T X.509 elektronski sertifikati

2 – Kvalifikovani ITU-T X.509 elektronski sertifikati

g.h Opciona slova koja mogu označavati verziju dokumenta, npr. 1.0 Prema ovom predlogu, imali bi sledeće primere oznaka dokumenata: 1. Politika sertifikacije za fizička lica home banking (online) eksterne korisnike koji koriste mini CD: 1.3.6.1.4.1.24885.1.2.1.1.2.1 2. Politika sertifikacije za fizička lica home banking korisnike koji koriste smart karticu (Maestro): 1.3.6.1.4.1.24885.1.2.1.2.3.1


11

3. Politika sertifikacije za pravna lica e-banking korisnike koji koriste smart karticu: 1.3.6.1.4.1.24885.1.2.2.1.3.1 U ovim primerima nisu korišćene oznake verzija dokumenata, slova g i h.

1.4 Identifikacija

Ovaj dokument predstavlja Politiku sertifikacije (u daljem tekstu CP – Sertificate Policy) Banca Intesa Beograd CA za pravna lica - eksterne korisnike Banca Intesa ad Beograd. Banca Intesa Beograd CA izdaje sledeće vrste sertifikata za pravna lica – eksterne korisnike:

� Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva Banca Intesa ad Beograd – na smart kartici – e-banking kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),


� Za pravna lica – aplikacija Broker assistance – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

Identifikacioni podaci Banca Intesa Beograd CA su:

Banca Intesa Beograd CA Banca Intesa ad Beograd Bulevar Milutina Milankovi ća 1c 11070 Beograd Srbija www.bancaintesabeograd.com

Jedinstveno ime (Dname – issuer):

OU=Banca Intesa Beograd CA O=Banca Intesa ad Beograd C=RS

Sertifikati koji se izdaju u okviru ove Politike imaju sledeće oznake:


12

� Sertifikat za pravna lica – e-banking na smart kart ici

OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)

� Sertifikat za pravna lica – web krediti na smart ka rtici

OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)

� Sertifikat za pravna lica – Broker assistance na sm art kartici

OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)

� Sertifikat za pravna lica – partnere na smart karti ci

OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)

1.5 Okruženje i primenljivost Politike sertifikacij e

Svrha ove Politike sertifikacije je da, pre svega, opiše odgovornosti i prava CA ( Certification Authority - izdavač sertifikata), RA (Registration Authority - identifikator i registrator korisnika) i različitih korisnika (korisnik – vlasnik sertifikata). Kao deo ove Politike sertifikacije, opisane su procedure koje Banca Intesa Beograd CA sprovodi u procesu izdavanja sertifikata.

1.5.1 Banca Intesa Beograd CA

Sertifikaciono telo je organizacija koja izdaje elektronske sertifikate. Banca Intesa Beograd CA je sertifikaciono telo (CA). Banca Intesa Beograd CA je odgovorna za publikaciju ove politike sertifikacije u cilju podrške izdavanju odreñenih tipova elektronskih sertifikata. U tom smislu, ova Politike sertifikacije (CP), kao i pridruženi dokument Banca Intesa Beograd CA CPS (Certificate Practice Statement), predstavljaju odgovarajuću politiku i praktična pravila koja se primenjuju pri izdavanju Banca Intesa Beograd CA elektronskih sertifikata, kao i eventualnog izdavanja kvalifikovanih elektronskih sertifikata. U cilju objavljivanja trećim stranama informacija koje se odnose na opozvane sertifikate, neophodno je da se izvrši odgovarajuća publikacija liste povučenih sertifikata (CRL – Certificate Revocation List). Banca Intesa Beograd CA periodično objavljuje takvu listu u skladu sa uslovima definisanim u ovom dokumentu.

1.5.2 Hijerarhijska struktura Banca Intesa Beograd CA

Banca Intesa Beograd CA predstavlja hijerarhijski PKI sistem za izdavanje elektronskih sertifikata za interne i eksterne korisnike. U pomenutoj arhitekturi (slika 1.5.2.1), postoji:


13

� Banca Intesa Beograd Root CA

� Banca Intesa Beograd Intermediate CA – interni korisnici

� Banca Intesa Beograd Intermediate CA – eksterni korisnici

� Banca Intesa Beograd Intermediate CA – Enterprise VPN

Slika 1.5.2.1: Hijerarhijska struktura Banca Intesa Beograd PKI sistema Na slici 1.5.2.1, navedena sertifikaciona tela su realizovana na sledeći način:

� Root CA – Digitrust PKI tehnologija

� Intermediate CA za interne korisnike – MS 2008 Enterprise Subordinate CA tehnologija

� Intermediate CA za eksterne korisnike – Digitrust PKI tehnologija

� Intermediate CA za interne korisnike Enterprise VPN – MS 2003 Standalone Subordinate CA tehnologija

Hijerarhijski PKI sistem Banca Intesa Beograd CA može eventualno uključiti i bilo koje eksterno CA za koje Banca Intesa Beograd CA outsource-uje sertifikacione usluge u skladu sa odgovarajućim Ugovorom. Naime, Banca Intesa Beograd CA može omogućiti implementaciju sertifikacionih servisa i drugim CA, kao trećim stranama, u skladu sa odgovarajućim dogovorenim uslovima koji bi bili formalizovani odgovarajućim ugovorom. U okviru datog sertifikacionog okruženja, takva CA bi predstavljala intermediate CA tela u okviru Banca Intesa Beograd CA hijerarhije. Meñutim, ova tela moraju da pružaju nivo servisa koji je ekvivalentan nivou koje Banca Intesa Beograd CA obezbeñuje. U tom smislu, sprovodi se odgovarajuća

Banca Intesa Beograd Root CA

Banca Intesa Beograd

Intermediate CA – interni korisnici


Intermediate CA –eksterni korisnici


Intermediate CA – Enterprise VPN


14

procedura akreditacije, auditinga i primene odgovarajućih procedura u kojima Banca Intesa Beograd CA proverava sposobnost datog CA treće strane da izdaje elektronske sertifikate u skladu sa ovom Politikom sertifikacije. Prvo što se mora obezbediti u tom slučaju je da dato CA treće strane ima Politiku sertifikacije koja je ekvivalentna i u skladu sa ovom Politikom. Drugim rečima, pretpostavka je da je Banca Intesa Beograd CA prethodno proverilo i analiziralo politiku sertifikacije, praktična pravila i procedure rada datog sertifikacionog tela (uključujući Politiku sertifikacije, CPS – Sertificate Practice Statement i interna pravila rada). Pored gore navedene „root signing“ opcije, Banca Intesa Beograd CA može da hostuje CA telo za neku drugu organizaciju, a pod dogovorenim uslovima uz formalizovan ugovor o tome. U ovom slučaju, u Banca Intesa Beograd CA hijerarhiji i mrežnoj infrastrukturi bi bio hostovan poseban server koji bi predstavljao intermediate CA server u Banca Intesa Beograd CA hijerarhiji za datu organizaciju. U ovom slučaju, data organizacija bi imala RA funkcionalnost za izdavanje sertifikata koji bi bili generisani u okviru Banca Intesa Beograd CA infrastrukture. Pored svih gore navedenih opcija, postoji mogućnost da se Banca Intesa Beograd CA krossertifikuje sa nekim eksternim CA telom u cilju uzajamnog meñusobnog priznavanja sertifikata, o čemu mora biti sklopljen odgovarajući ugovor. 1.5.3 Registraciona tela Banca Intesa Beograd CA Zahtevi za izdavanjem sertifikata za odgovarajuće interne i eksterne korisnike Banke se prikupljaju u ekspoziturama i regionalnim centrima Banca Intesa ad Beograd, kao i u samoj centrali Banke, koji igraju ulogu Registracionih autoriteta (RA – Registration Authority). Izuzetno, zahteve za izdavanjem sertifikata internim korisnicima Banke mogu podnositi i sami interni korisnici – zaposleni putem odgovarajuće automatizovane procedure. To će biti predmet posebne Politike sertifikacije za interne korisnike. Drugim rečima, Banca Intesa Beograd CA pristupa svojim korisnicima putem mreže registracionih tela (centralno RA i mreža RA). Ova registraciona tela mogu biti:

� Banca Intesa Beograd CA na centralnoj lokaciji, kao centralno RA za interne i eksterne korisnike banke, kao i za treće strane za koje Banca Intesa Beograd CA eventualno outsource-uje usluge registracionog tela.

� Ekspoziture i regionalni centri Banca Intesa ad Beograd kao RA za potrebe internih i eksternih korisnika – za komitente (fizička i pravna lica) Banca Intesa ad Beograd,


15

� Treće strane kao RA (još se nazivaju i lokalna registraciona teka LRA – Local Registration Authority) za koje Banca Intesa Beograd CA outsource-uje sertifikacione usluge, tj. izdavanje sertifikata. LRA igraju ulogu RA za potrebe izdavanja sertifikata korisnicima iz njihovog domena od strane Banca Intesa Beograd CA ili hostovanog CA za datu organizaciju u okviru Banca Intesa Beograd CA infrastrukture.

RA tela interaktivno komuniciraju i sa korisnicima i sa Banca Intesa Beograd CA u cilju isporuke sertifikacionih usluga krajnjim korisnicima. U tom smislu, registraciona tela Banca Intesa Beograd CA:

� Prihvataju, analiziraju, potvrñuju ili odbijaju registraciju odgovarajućih korisničkih zahteva za sertifikatima (aplikacije za sertifikate).

� Registruju korisnike za korišćenje Banca Intesa Beograd CA sertifikacionih usluga.

� Sprovode sve korake u proceduri identifikacije korisnika što je definisano važećim zakonskim dokumentima i Opštim pravilima rada Banca Intesa Beograd CA.

� Koriste službene i overene dokumente u cilju provere korisnikove aplikacije.

� Nakon potvrde aplikacije korisnika, obaveštavaju na odgovarajući način Banca Intesa Beograd CA u cilju izdavanja sertifikata.

� Iniciraju proces povlačenja i zahtevaju povlačenje sertifikata od strane Banca Intesa Beograd CA.

Registraciona tela Banca Intesa Beograd CA deluju lokalno u okviru njihovog sopstvenog konteksta geografskog ili poslovnog partnerstva koje je potvrñeno i autorizovano od strane Banca Intesa Beograd CA. Banca Intesa Beograd CA registraciona tela deluju u skladu sa praksom, procedurama i osnovnim dokumentima rada Banca Intesa Beograd CA. Ne postoji ograničenje na broj registracionih tela koja mogu biti pridružena Banca Intesa Beograd CA PKI sistemu. Banca Intesa Beograd CA obezbeñuje registracionim telima u svojoj infrastrukturi neophodnu tehnologiju i know-how u cilju postizanja visokog nivoa obučenosti u skladu sa Banca Intesa Beograd CA funkcionalnim zahtevima.

1.5.4 Korisnici

Korisnici sertifikacionih usluga Banca Intesa Beograd CA su:

� fizička lica (pojedinci)

� pravna lica (kompanije)


16

� informacioni resursi

Korisnici su strane koje:

� Apliciraju za dobijanje sertifikata,

� Identifikovani su kao vlasnici sertifikata u samom sertifikatu,

� Poseduju privatni ključ koji matematički odgovara javnom ključu koji je naveden u korisnikovom sertifikatu.

1.5.5 Treće strane

Treće strane su entiteti, kao na primer fizička lica (pojedinci) i/ili pravna lica (kompanije), koja prihvataju sertifikate i verifikuju elektronski potpis odreñenih elektronskih dokumenata koji su potpisani od strane korisnika Banca Intesa Beograd CA, kao i koja vrše validaciju sertifikata izdatih od strane Banca Intesa Beograd CA. Verifikacija digitalnog potpisa se vrši na bazi javnog ključa koji se nalazi u korisnikovom sertifikatu. U cilju provere validnosti primenjenog elektronskog sertifikata, treće strane moraju uvek da provere status povučenosti datog sertifikata u okviru Banca Intesa Beograd CA CRL liste pre nego što prihvate informacije koje su navedene u sertifikatu.

1.5.6 Ispravno koriš ćenje sertifikata

Banca Intesa Beograd CA sertifikati se mogu koristiti za većinu transakcija elektronskog poslovanja i elektronskog bankarstva koje se baziraju na upotrebi elektronskih sertifikata. U takve transakcije spadaju:

� Transakcije elektronskog bankarstva pravnih lica – kompanija,

� Bankarske transakcije grañana – home banking,

� Elektronska pošta,

� Elektronski ugovori,

� Pristup bezbednim web sajtovima (SSL autentifikacija) i drugim on-line sadržajima,

� Elektronsko potpisivanje dokumenata u elektronskom obliku,

� Šifrovanje i dešifrovanje dokumenata u elektronskom obliku, itd.

� Elektronska arhiva.


17

1.5.7 Definicije

U ovom dokumentu pojedini izrazi imaju sledeće značenje: Aktivacioni podaci – Podaci, koji nisu ključevi, koji su zahtevani u cilju rada kriptografskih modula i koji moraju biti zaštićeni (kao na primer PIN, passphrase, ili komponente pri manuelnom razmenjivanju ključeva). CA sertifikat – Sertifikat za dato CA izdat (digitalno potpisan) od strane drugog CA (ukoliko se radi o Intermediate CA) ili samopotpisan (ukoliko se radi o root CA). Politika sertifikacije – Imenovan skup pravila koji indicira primenljivost sertifikata na odreñeno okruženje i/ili na klasu aplikacija sa zajedničkim bezbednosnim zahtevima. Lanac (put) sertifikata – Ureñena sekvenca sertifikata koja se, zajedno sa javnim ključem inicijalnog objekta u lancu (putu), procesira u cilju provere istog u poslednjem objektu na putu. Certificate Practice Statement (CPS) – Praktična pravila i procedure koje sertifikaciono telo primenjuje u proceduri izdavanja sertifikata i koja, zajedno sa Politikom sertifikacije, predstavljaju javni dokument. Sertifikaciono telo – izdava č sertifikata (issuing CA) – U kontekstu odreñenog sertifikata, sertifikaciono telo – izdavalac sertifikata je ono CA koje je izdalo (digitalno potpisalo) sertifikat. Kvalifikator politike – Informacija koja zavisi od politike sertifikacije i koja je pridružena identifikatoru politike sertifikacije u okviru X.509 sertifikata. Ta ekstenzija može da uključi i URL na kome se nalazi publikovan CPS datog sertifikacionog tela. Registraciono telo (RA) – Entitet koji je odgovoran za identifikaciju i autentifikaciju/registraciju korisnika/vlasnika sertifikata, kao i kreiranje zahteva za izdavanje sertifikata, ali koji ne izdaje i ne potpisuje sertifikat (tj. RA vrši odgovarajuće poslove (identifikaciju korisnika) i u tom smislu je delegirano od CA). Često se i termin LRA (Local Registration Authority) koristi u istom kontekstu. Treća strana – Primalac sertifikata koji proverava dati sertifikat i/ili proverava digitalni potpis dobijenog elektronskog dokumenta primenom javnog ključa potpisnika iz sertifikata. Treća strana proverava validnost sertifikata u istom procesu. Treća strana može biti takoñe korisnik sertifikata izdatog od strane istog sertifikacionog tela ali i ne mora. Elektronski dokument – dokument u elektronskom obliku koji se koristi u pravnim poslovima i drugim pravnim radnjama, kao i u upravnom, sudskom i drugom postupku pred državnim organom. Elektronski potpis – skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika.


18

Kvalifikovani elektronski potpis – Elektronski potpis koji se kreira primenom sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature Creation Device) i koji se proverava putem kvalifikovanog elektronskog sertifikata potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu po Zakonu o elektronskom potpisu. Potpisnik – lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica. Podaci za formiranje elektronskog potpisa – jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi, koje potpisnik koristi za izradu elektronskog potpisa. Sredstva za formiranje elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja se koriste za formiranje elektronskog potpisa, uz korišćenje podataka za formiranje elektronskog potpisa. Sredstva za formiranje kvalifikovanog elektronskog potpisa – sredstva za formiranje elektronskog potpisa koja ispunjavaju dodatne uslove utvrñene Zakonom o elektronskom potpisu. Podaci za proveru elektronskog potpisa – podaci, kao što su kodovi ili javni kriptografski ključevi, koji se koriste za proveru elektronskog potpisa. Sredstva za proveru elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje podataka za proveru elektronskog potpisa. Sredstva za proveru kvalifikovanog elektronskog pot pisa – sredstva za proveru elektronskog potpisa koja ispunjavaju dodatne uslove utvrñene Zakonom o elektronskom potpisu. Elektronski sertifikat – elektronski dokument kojim se potvrñuje veza izmeñu podataka za proveru elektronskog potpisa i identiteta potpisnika. Kvalifikovani elektronski sertifikat – elektronski sertifikat koji je izdat od strane sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i sadrži podatke predviñene Zakonom o elektronskom potpisu. Korisnik – pravno lice, preduzetnik, državni organ, organ teritorijalne autonomije, organ lokalne samouprave ili fizičko lice kome se izdaje elektronski sertifikat. Sertifikaciono telo – pravno lice koje izdaje elektronske sertifikate u skladu sa odredbama Zakona o elektronskom potpisu. Akreditacija – Formalna deklaracija od strane nadležnog autoriteta da izvesne funkcije/entiteti zadovoljavaju specifične formalne zahteve.


19

Aplikacija za sertifikat – Zahtev poslat od strane korisnika koji zahteva sertifikat (aplikant) ka Sertifikacionom telu u cilju izdavanja elektronskog sertifikata. Arhiva – Specifična baza podataka za čuvanje zapisa za odreñeni period vremena u cilju bezbednosti, backup-a ili revizije. Identifikacija – proces utvrñivanja identiteta pojedinca ili organizacije. U kontekstu PKI sistema, identifikacija se odnosi na proces utvrñivanja da dato ime pojedinca ili organizacije odgovara realnom identitetu pojedinca ili organizacije.

Autentifikacija – proces utvrñivanja da je identifikovani pojedinac ili organizacija koji se prijavljuje za odreñeni servis pod datim imenom u stvari baš taj (pod tim imenom) pojedinac ili organizacija. Drugim rečima, autentifikacija predstavlja proceduru bezbednog logičkog predstavljanja korisnika, tj. utvrñivanja njegovog elektronskog identiteta, odgovarajućoj aplikaciji ili servisu. Autorizacija – procedura utvrñivanja prava koje neki identifikovani i autentifikovani korisnik ima za korišćenje odgovarajuće aplikacije ili servisa. Ekstenzije u sertifikatu – Dodatna polja u sertifikatu, pored osnovnih, koja daju bliže informacije o vlasniku (korisniku) i izdavaocu (CA) sertifikata, itd. Hijerarhija sertifikata – Sekvenca sertifikata bazirana na nivoima koja ima jedan root CA sertifikat i subordinate/intermediate entitete, kao što su sertifikati drugih CA i korisnici. Upravljanje sertifikatima – Aktivnosti pridružene upravljanju sertifikatima uključuju izdavanje, čuvanje, isporuku, objavljivanje i povlačenje sertifikata. Lista povu čenih sertifikata (CRL – Certificate Revocation List ) – Lista izdata i elektronski potpisana od strane CA koja uključuje povučene sertifikate, kao i razloge njihovog povlačenja. Takva lista se mora koristiti od strane trećih strana uvek kada treba proveriti validnost sertifikata i/ili verifikaciju elektronskog potpisa. Serijski broj sertifikata – Sekvencijalni ili slučajni broj koji jedinstveno identifikuje sertifikat u domenu datog CA. Zahtev za dobijanje sertifikata (CSR – Sertificate Service Request) – Standardna forma (po PKCS#10 preporuci) koja se koristi za slanje zahteva za dobijanjem sertifikata. Sertifikacija – Proces izdavanja elektronskog sertifikata. Asimetri čni par klju čeva (key pair) – Privatni ključ i javni ključ, kao matematički par koji se koriste za potrebe rada asimetričnog kriptografskog algoritma, kao što je na primer RSA algoritam. Privatni klju č – Matematički kod koji se koristi kao ključ za kreiranje elektronskog


20

potpisa i za raspakivanje digitalne envelope – dešifrovanje simetričnog ključa primenom asimetričnog kriptografskog algoritma. Simetrični ključ je korišćen u simetričnom kriptografskom algoritmu za šifrovanje dokumenta za datog korisnika. Javni klju č – Matematički kod koji može biti javno objavljen (najčešće se objavljuje u okviru X.509v3 elektronskog sertifikata) i koji se koristi za verifikaciju elektronskog potpisa, kreiranog pomoću odgovarajućeg privatnog ključa koji je matematički par sa datim javnim ključem, kao i za šifrovanje simetričnog ključa/podataka za korisnika koji poseduje odgovarajući privatni ključ. Šifrovanje – transformacija koja, primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa, pretvara originalnu informaciju u oblik koji se ne može koristiti (šifrat). Dešifrovanje – transformacija kojom se iz šifrata dobija originalna informacija primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa. Kriptografija – nauka o primeni algoritama za zaštitu tajnosti informacija. Kriptografski algoritmi – algoritmi po kojima se vrši transformacija originalne informacije u šifrovanu informaciju (šifrat) i obratno, iz šifrata u originalnu infomaciju, korišćenjem odgovarajućeg kriptografskog ključa. Kriptografski klju č – tajna i slučajna informacija odgovarajuće dužine u bitovima (na primer 128 ili 256 bita) koja se koristi u kriptografskim algoritmima, u procedurama šifrovanja i dešifrovanja. Simetri čni kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju šifrovanja u cilju zaštite tajnosti informacija. Algoritmi se nazivaju simetričnim zato što se isti kriptografski ključ koristi za šifrovanje i za dešifrovanje. Asimetri čni kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju tehnologije digitalnog potpisa kojim se obezbeñuje: autentičnost, integritet i neporecivost transakcija. Algoritmi se nazivaju asimetričnim zato što se različiti kriptografski ključevi koriste za šifrovanje i za dešifrovanje. Asimetrični kriptografski algoritam koristi par ključeva, javni i privatni, i to javni u postupku šifrovanja i privatni u postupku dešifrovanja. Hash algoritmi – jednosmerni kriptografski algoritmi pomoću kojih se vrši kriptografska transformacija informacije proizvoljne veličine u hash vrednost fiksne veličine (160, 224, 256, 384 ili 512 bitova). Identifikator objekta (Object identifier) – Sekvenca intedžerskih komponenti koja može biti pridružena nekom registrovanom objektu i koja ima karakteristiku da je jedinstvena u svim identifikatorima objekata u okviru specifičnog domena. Repozitorijum – Baza podataka i/ili direktorijum na kome su publikovani osnovni


21

dokumenti rada CA, kao i eventualne druge informacije koje se odnose na pružanje sertifikacionih usluga od strane datog CA (kao na primer publikacija svih izdatih sertifikata ukoliko je to dozvoljeno prema Politici sertifikacije i ukoliko su korisnici dali saglasnost za to, itd.). Povla čenje sertifikata – Permanentno ukidanje validnosti datog sertifikata i njegovo smeštanje na CRL listu. Deljena tajna – Deo kriptografske tajne koja je podeljena na unapred definisan broj fizičkih tokena, kao na primer smart kartica. Smart kartica – Hardverski token koji sadrži čip na kome može da se izvrše odgovarajuće kriptografske funkcije, kao što su: elektronski potpis, šifrovanje, generisanje para asimetričnih ključeva, itd. Korisni čki ugovor – Ugovor izmeñu korisnika i CA u cilju obezbeñenja sertifikacionih usluga.

1.5.8 Kontaktni detalji

Banca Intesa Beograd CA ima registrovane kancelarije na sledećoj adresi:

Banca Intesa Beograd CA Banca Intesa ad Beograd Bulevar Milutina Milankovića 1c 11070 Novi Beograd Srbija

1.6 Opšte odredbe

1.6.1 Obaveze

Banca Intesa Beograd CA garantuje da će sprovoditi sve procedure definisane u ovoj Politici sertifikacije. Banca Intesa Beograd CA koristi korisnički ugovor, ovu CP i CPS u cilju sprovoñenja propisanih uslova korišćenja Banca Intesa Beograd CA sertifikata od strane korisnika i trećih strana. Učesnici od interesa za ovu CP u čitavom Banca Intesa Beograd CA PKI sistemu koji imaju odgovarajuće obaveze uključuju CA, RA, korisnike, treće strane i druge učesnike.


22

1.6.1.1 Banca Intesa Beograd CA obaveze

Do nivoa specificiranog u odgovarajućim poglavljima ove CP, Banca Intesa Beograd CA garantuje:

� Punu saglasnost sa ovom CP i svim njenim eventualnim dodacima u trenutku kada se publikuju.

� Obezbeñivanje infrastrukture i sertifikacionih usluga, uključujući uspostavu i održavanje Banca Intesa Beograd CA repozitorijuma i odgovarajućeg web sajta u cilju pružanja sertifikacionih usluga.

� Obezbeñivanje sigurnih mehanizama koji uključuju mehanizam generisanja ključeva, zaštite ključeva, kao i procedure deljenja tajni u skladu sa svojim sopstvenim PKI sistemom.

� Obezbeñivanje promptnog obaveštavanja u slučaju kompromitacije sopstvenog privatnog ključa.

� Obezbeñivanje i validaciju aplikacionih procedura za različite tipove sertifikata koje su javno raspoložive.

� Izdavanje elektronskih sertifikata u skladu sa ovom CP i ispunjavanje sopstvenih obaveza.

� Obaveštavanje korisnika odgovarajućim elektronskim putem da su sertifikati generisani za njih i o načinu kako korisnici mogu da preuzmu sertifikate.

� Obaveštavanje aplikanta ukoliko Banca Intesa Beograd CA nije sposobno da izvrši validaciju korisničke aplikacije za dobijanje sertifikata u skladu sa ovom CP.

� Nakon prijema validnog zahteva od strane RA koje radi u okviru Banca Intesa Beograd CA mreže promptno izdaje Banca Intesa Beograd CA sertifikat u skladu sa ovom CP.

� Povlačenje sertifikata koji su izdati u skladu sa ovom CP nakon prijema validnog zahteva za povlačenje sertifikata od strane autorizovanog lica koje može da zahteva povlačenje.

� Objavljivanje izdatih sertifikata u skladu sa ovom CP.

� Obezbeñivanje podrške korisnicima i trećim stranama kao što je opisano u ovoj CP.

� Obezbeñivanje obnavljanja sertifikata u skladu sa ovom CP.

� Regularno periodično objavljivanje CRL liste u skladu sa ovom CP.

� Obaveštavanje trećih strana o statusu povučenosti sertifikata putem publikovanja CRL lista na Banca Intesa Beograd CA repozitorijumu.

� Dostavljanja kopije ove CP i ostalih primenjlivih politika po zahtevu neke od strana.


23

Banca Intesa Beograd CA potvrñuje da, osim gore navedenih, nema drugih obaveza po ovoj CP.

1.6.1.2 Banca Intesa Beograd RA obaveze

Banca Intesa Beograd RA se obavezuje na:

� Prijem aplikacija za izdavanje sertifikata u skladu sa ovom CP.

� Izvršavanje svih aktivnosti na verifikaciji i proveri identiteta i autentičnosti aplikanata u skladu sa usvojenim procedurama i ovom CP.

� (Opciono) Dostavljanje zahteva aplikanata Banca Intesa Beograd CA u elektronski potpisanoj poruci (zahtev za izdavanjem sertifikata).

� Zapisivanje svih aktivnosti u žurnalu dogañaja.

� Prijem, verikaciju i prosleñivanje ka Banca Intesa Beograd CA svih zahteva za povlačenjem izdatih sertifikata u skladu sa usvojenim procedurama i ovom CP.

� Verifikaciju pouzdanosti i autentičnosti informacija dostavljenih od strane korisnika u vreme procedure obnavljanja sertifikata u skladu sa ovom CP.

1.6.1.3 Obaveze korisnika

Sem ako nije drugačije definisano u ovoj CP, korisnici su odgovorni za:

� Posedovanje odgovarajućih znanja i, ako je neophodno, pohañanje odgovarajuće obuke za korišćenje elektronskih sertifikata i sertifikacionih usluga.

� Bezbedno generisanje sopstvenog asimetričnog para ključeva, ukoliko ih generišu sami, korišćenjem bezbednih sistema.

� Obezbeñivanje korektnih i preciznih informacija u njihovoj komunikaciji sa Banca Intesa Beograd RA i Banca Intesa Beograd CA.

� Osiguranje da javni ključ dostavljen do Banca Intesa Beograd CA na sertifikaciju odgovara (predstavlja matematički par) privatnom ključu koji će se koristiti za elektronsko potpisivanje dokumenata i transakcija.

� Ispravnost javnog ključa dostavljenog do Banca Intesa Beograd CA na sertifikaciju.

� Sem u slučaju obnavljanja sertifikata, generisanje novog asimetričnog para ključeva koji će se koristiti sa pridruženim sertifikatom koji se zahteva od strane Banca Intesa Beograd CA.

� Upoznavanje, razumevanje i saglasnost sa svim stavovima i uslovima u ovoj CP i drugim pridruženim politikama koje su objavljene na Banca Intesa Beograd CA repozitorijumu, uključujući CPS.


24

� Uzdržavanje od narušavanja integriteta i proizvoñenja neispravnim sertifikata izdatog od strane Banca Intesa Beograd CA.

� Korišćenje Banca Intesa Beograd CA sertifikata samo za legalne i autorizovane svrhe u skladu sa ovom CP.

� Obaveštavanje Banca Intesa Beograd CA ili Banca Intesa Beograd RA o bilo kojim promenama informacija koje su prethodno dostavljene.

� Prekid korišćenja Banca Intesa Beograd CA izdatog sertifikata ukoliko je bilo koja informacija u sertifikatu postala nevalidna.

� Prekid korišćenja Banca Intesa Beograd CA izdatog sertifikata ukoliko sam sertifikat postane nevalidan.

� Odstranjivanje sertifikata sertifikacionog tela koji je nevalidan iz bilo koje aplikacije i/ili bilo kog ureñaja gde je bio instaliran.

� Korišćenje samo jednog sertifikata za verifikaciju elektronskog potpisa u datom trenutku.

� Uzdržanje od korišćenja svog privatnog ključa koji odgovara javnom ključu koji je sertifikovan od strane Banca Intesa Beograd CA, u izdatom sertifikatu, za potrebe izdavanja drugih sertifikata sa istim Common Name poljem.

� Razumno korišćenje Banca Intesa Beograd CA izdatog sertifikata pod različitim okolnostima.

� Sprečavanje kompromitacije, gubljenja, objavljivanja, modifikacije ili bilo kog drugog neautorizovanog korišćenja svog privatnog ključa.

� Korišćenje bezbednih ureñaja i proizvoda koji obezbeñuju odgovarajuću zaštitu privatnih ključeva.

� Bilo koje aktivnosti i propuste partnera ili njihovih agenata u smislu generisanja, zadržavanja, odlaganja, ili uništavanja bilo kog privatnog ključa.

� Uzdržavanje od dostavljanja do Banca Intesa Beograd CA, ili bilo kog Banca Intesa Beograd CA direktorijuma, bilo kakvog materijala koji sadrži stavove koji ugrožavaju bilo koji zakon ili bilo koje pravo bilo koje strane.

� Zahtevanje povlačenja sertifikata u slučaju dogañaja koji materijalno utiče na integritet Banca Intesa Beograd CA izdatog sertifikata.

� Na odgovarajući način nadzire rad agenata ili partnera koji su aplicirali za korišćenje Banca Intesa Beograd CA u ime datog korisnika.

� Kontrolisanje podataka koje agenti dostavljaju do Banca Intesa Beograd CA i obaveštavanje Banca Intesa Beograd CA o bilo kojim pogrešnim tumačenjima i propustima načinjenim od strane agenta.

1.6.1.4 Obaveze tre ćih strana

Strana koja se oslanja na izdati sertifikat od strane Banca Intesa Beograd CA obavezna je da:


25

� Poseduje odgovarajuća znanja o korišćenju elektronskih sertifikata i drugih

tehnologija vezanih za usluge sertifikacije.

� Primi obaveštenje u vezi politike sertifikacije (CP) Banca Intesa Beograd CA i navedenih uslova koji važe za treće strane.

� Verifikuje izdati sertifikat od strane Banca Intesa Beograd CA primenom izmeñu ostalog i CRL liste (Banca Intesa Beograd CA CRL) i u skladu sa procedurom validacije sertifikacionog puta.

� Veruje u Banca Intesa Beograd CA izdati sertifikat samo ukoliko se sve informacije koje se odnose na takav sertifikat mogu verifikovati da su korektne i ažurne.

� Razumno osloni i pouzda na Banca Intesa Beograd CA izdati sertifikat u skladu sa odgovarajućim okolnostima.

1.6.1.5 Obaveze vezane za repozitorijum

Strane u komunikaciji (uključujući korisnike i treće strane) koje pristupaju Banca Intesa Beograd CA repozitorijumu i web sajtu u potpunosti su saglasne sa odredbama ove CP, kao i sa bilo kojim drugim uslovima korišćenja koje je Banca Intesa Beograd CA moglo učiniti dostupnim. Strane u komunikaciji demonstriraju prihvatanje uslova korišćenja navedenih u ovoj CP dostavljanjem upita vezanih za status elektronskih sertifikata ili bilo kojim drugim načinom koji dokazuje korišćenje ili oslanjanje na obezbeñene informacije ili usluge. Banca Intesa Beograd CA repozitorijum uključuje ili sadrži:

� Mogućnost pretrage u cilju pronalaženja izdatog elektronskog sertifikata, ukoliko je korisnik dozvolio takvu mogućnost.

� Mogućnost validacije statusa sertifikata prilikom verifikacije elektronskog potpisa koji je kreiran korišćenjem privatnog ključa koji odgovara javnom ključu koji je uključen u sertifikat.

� Informacije publikovane na Banca Intesa Beograd CA web sajtu (ova CP, CPS, korisnički ugovor, CRL, itd.).

� Bilo koje druge usluge koje Banca Intesa Beograd CA može reklamirati ili obezbediti putem svog web sajta.

Banca Intesa Beograd CA čini sve u svojoj moći u cilju osiguranja da strane koje pristupaju repozitorijumu dobijaju pouzdane, ažurne i tačne informacije. Banca Intesa Beograd CA, meñutim, ne može prihvatiti bilo kakvu odgovornost koja je van ograničenja definisanih ovom CP.


26

2. Objavljivanje i repozitorijumi

Banca Intesa Beograd CA objavljuje informacije u vezi elektronskih sertifikata koje izdaje na on-line repozitorijumu. Banca Intesa Beograd CA zadržava pravo da publikuje statusne informacije o sertifikatima i na repozitorijumu neke treće strane ukoliko je to pogodno. Banca Intesa Beograd CA ima on-line repozitorijum dokumenata u kojima se objavljuju informacije o praktičnim pravilima i politikama rada, uključujući CPS kao i ovu CP. Banca Intesa Beograd CA zadržava pravo da učini raspoloživim i publikuje informacije u vezi sopstvenih politika i procedura rada putem bilo kog pogodnog načina. Participanti u sertifikacionim uslugama se obaveštavaju da će Banca Intesa Beograd CA možda publikovati informacije koje su oni dostavili, i ukoliko su dali saglasnost za objavljivanje, na javno pristupačnim direktorijumima uz pridružene statusne informacije o elektronskim sertifikatima. Iz razloga njihove osetljvosti i poslovne tajne, Banca Intesa Beograd CA neće publikovati interna pravila rada koja se odnose na izvesne podkomponente i elemente koji uključuju izvesne bezbednosne kontrole, procedure koje se odnose na upravljanje ključevima, distribuiranu odgovornost, bezbednost registraciona tela, root signing proceduru i sve ostale bezbednosno osetljive procedure. Banca Intesa Beograd CA publikuje statusne informacije o povučenosti digitalnih sertifikata u odreñenim intervalima, kako je to naznačeno u CPS dokumentu. Banca Intesa Beograd CA održava raspoloživim pristup do svog javnog repozitorijuma trećim stranama sa svrhom validacije samog Banca Intesa Beograd CA sertifikata. Banca Intesa Beograd CA može ograničiti ili zabraniti pristup odreñenim uslugama, kao što su publikovanje statusnih informacija o bazama podataka treće strane, odreñenim privatnim direktorijumima, itd. Iako je pristup Banca Intesa Beograd CA repozitorijumu i direktorijumima besplatan, Banca Intesa Beograd CA zadržava pravo da naplaćuje odreñena specifična korišćenja svojih servisa.


27

3. Identifikacija i autentifikacija korisnika

Banca Intesa Beograd CA održava dokumentovana praktična pravila i procedure u cilju autentifikacije identiteta i/ili drugih atributa aplikanata/krajnjih korisnika Banca Intesa Beograd CA sertifikata a što se izvršava pre samog izdavanja sertifikata. Banca Intesa Beograd CA koristi potvrñene procedure u cilju prihvatanja aplikacija od entiteta koji žele da postanu članovi Banca Intesa Beograd CA PKI hijerarhije. Banca Intesa Beograd CA autentifikuje zahteve strana koje žele da povuku sertifikate u skladu sa ovom politikom. Banca Intesa Beograd CA održava odgovarajuće procedure u cilju odreñivanja praktičnih pravila za dodeljivanje imena, uključujući i prepoznavanje “trademark” prava u izvesnim imenima.

3.1 Nazivi

U cilju identifikacije korisnika, Banca Intesa Beograd CA sprovodi odgovarajuća pravila dodeljivanja imena i identifikacije koja uključuje tipove imena pridruženih subjektu, kao na primer X.500 “distinguished” imena. Kada aplicira za Banca Intesa Beograd CA sertifikat, ime aplikanta mora biti u potpunosti sa odgovarajućim značenjem sem ako to nije eksplicitno dozvoljeno u relevantnom proizvodnom opisu i u Banca Intesa Beograd CA CPS dokumentu. Banca Intesa Beograd CA izdaje sertifikate aplikantima koji dostavljaju dokumentovane aplikacije koje sadrže ime koje se može verifikovati. Izvesni tipovi sertifikata, kao što su sertifikati izdati u skladu sa Evropskom direktivom 1999/93/EC mogu, meñutim, biti izdati uz korišćenje pseudonima koji je povezan sa pravim imenom koje Banca Intesa Beograd CA čuva u svojoj arhivi. Banca Intesa Beograd CA ne izdaje anonimne sertifikate korisnicima. Imena pridružena korisnicima sertifikata su jedinstvena u domenu Banca Intesa Beograd CA pošto se uvek koriste zajedno sa jedinstvenim identifikacionim brojem datog profila korisnika (Serial Number polje u Dname polju korisnika). Banca Intesa Beograd CA ne prihvata “trademark” oznake, loga ili drugi grafički ili tekstualni materijal koji je zaštićen od kopiranja a uključen je u njegove sertifikate.


28

3.2 Inicijalna provera identiteta

U cilju realizacije procedure identifikacije i autentifikacije za inicijalnu korisnikovu registraciju za svaki tip subjekta (CA, RA, korisnici ili drugi učesnici) Banca Intesa Beograd CA sprovodi sledeće korake:

� (Opciono) Korisnik identifikovan u polju subjekta mora dokazati posedovanje asimetričnog privatnog ključa koji odgovara javnom ključu koji treba da bude sertifikovan od strane Banca Intesa Beograd CA. Takav odnos može biti dokazan na primer putem elektronskog potpisa u zahtevu za izdavanjem sertifikata (PKCS#10 samopotpisani zahtev).

� Zahtevi Banca Intesa Beograd CA u smislu identifikacije i autentifikacije organizacija koje su aplicirale za Banca Intesa Beograd CA sertifikate, uključuju ali nisu ograničene na konsultovanje odreñenih baza podataka treće strane koje jednoznačno identifikuju organizaciju ili proverom dokumenata o udruživanju date organizacije.

� Organizacije koje apliciraju za Banca Intesa Beograd CA sertifikate uključuju ali nisu ograničene na druge CA (treće strane), RA, korisnike pravna lica (u slučaju da su sertifikati izdati samim organizacijama ili informacionim resursima kontrolisanim od strane te organizacije), ili druge kompanijske korisnike.

U cilju identifikacije i autentifikacije za izdavanje sertifikata individualnoj organizaciji – pravnom licu koje aplicira za Banca Intesa Beograd CA sertifikat (CA, RA, korisnici (u slučaju sertifikata izdatih organizacijama ili informacionim resursima kontrolisanim od strane organizacije) ili drugi učesnici), Banca Intesa Beograd CA može primeniti korake koji uključuju ali nisu ograničeni na:

� Provera dokumenata kao što su identifikacione kartice, pasoš, vozačka dozvola za ovlašćeno fizičko lice datog pravnog lica.

� Utvrñivanje identiteta organizacije na bazi dostavljene dokumentacije.

� Zahtev je da se pojedinac, ovlašćeno lice, fizički pojavi u Banca Intesa Beograd RA u odgovarajućoj fazi pre nego što se sertifikat izda.

� Primenu dodatnih zahteva za organizaciju aplikanta kao što su potpisani autorizacioni dokumenti (ovlašćenja) ili neka druga identifikaciona oznaka organizacije.

Kada Banca Intesa Beograd CA pri izdavanju sertifikata uključuje informacije o odgovarajućim ovlašćenjima. kao što su specifična prava ili dozvole, uključujući dozvolu za dobijanje sertifikata u cilju realizacije odgovarajućih aktivnosti u ime date organizacije, Banca Intesa Beograd CA može zahtevati specijalnu pismenu dozvolu od strane date organizacije.


29

3.3 Identifikacija i autentifikacija zahteva za obn avljanje klju čeva

Ovo poglavlje nije primenljivo u okviru ove CP.

3.4 Identifikacija i autentifikacija zahteva za pov lačenje sertifikata

U cilju sprovoñenja procedura identifikacije i autentifikacije zahteva za povlačenjem sertifikata za odgovarajuće tipove subjekata (CA, RA, korisnici ili drugi učesnici), Banca Intesa Beograd CA zahteva:

� Lično podnošenje zahteva za povlačenjem u odgovarajućoj RA kancelariji Banca Intesa Beograd CA popunjavanjem odgovarajućeg formulara – na identičan način kao i u slučaju podnošenja zahteva za dobijanjem sertifikata,

� Korišćenje on-line autentifikacionog mehanizma (autentifikacija putem digitalnog sertifikata, PIN broja, autorizacionog koda, itd.) pri čemu se zahtevi upućuju odgovarajućem Banca Intesa Beograd RA ili putem web komunikacije do samog CA. Banca Intesa Beograd RA sprovodi takve zahteve do Banca Intesa Beograd CA u cilju realizacije procedure povlačenja sertifikata.

Jedan mogući način bezbednog dostavljanja zahteva za povlačenjem sertifikata su digitalno potpisani zahtevi od strane samih korisnika koji žele da im se povuče sertifikat (ukoliko je takva mogućnost dozvoljena u okviru CPS) ili od strane RA ili CA ovlašćenih službenika.


30

4. Operativni zahtevi u vezi životnog ciklusa sertifikata

Za sva intermediate sertifikaciona tela, registraciona tela, korisnike ili druge učesnike postoji stalna obaveza da informišu Banca Intesa Beograd CA o svim promenama u informacijama koje su objavljene u sertifikatu za čitav perod operativnog rada takvog sertifikata. Odreñene druge obaveze se takoñe mogu dodatno primeniti.

4.1 Aplikacija za dobijanje sertifikata

Aplikanti koji podnose zahtev za dobijanje sertifikata odgovorni su za dostavljanje pouzdanih informacija u njihovim aplikacijama. Što se tiče aplikacije za izdavanje korisnikovog sertifikata, Banca Intesa Beograd CA zahteva da aplikant korisnik bude ili taj pojedinac ili njegov pravni predstavnik koji će podneti aplikaciju za sertifikat. Korisnici sprovode enrolment proces (proces identifikacije i registracije) sa Banca Intesa Beograd CA, RA ili odgovarajućim partnerom pod ugovorom koji zahteva:

� Popunjavanje aplikacione forme.

� Generisanje asimetričnog para ključeva (ova operacija se može izvršiti kod korisnika ili u samom CA).

� Isporuku generisanog javnog ključa, koji odgovara privatnom ključu iz asimetričnog para ključeva, do Banca Intesa Beograd CA na sertifikaciju.

� Demonstriranje Banca Intesa Beograd CA sertifikacionom telu da aplikant poseduje privatni ključ koji odgovara javnom ključu koji je dostavio do Banca Intesa Beograd CA.

� Prihvatanje korisničkog ugovora.

4.2 Procesiranje aplikacije za dobijanje sertifikat a

Nakon prijema aplikacije datog korisnika, Banca Intesa Beograd CA ili Banca Intesa Beograd RA vrše definisanu identifikacionu i autentifikacionu proceduru u cilju validacije aplikacije za izdavanje sertifikata. Nakon toga, Banca Intesa Beograd CA ili Banca Intesa Beograd RA potvrñuju ili odbijaju aplikaciju za izdavanje sertifikata. Takvo potvrñivanje ili odbijanje ne mora neophodno da bude obrazloženo aplikantu ili bilo kojoj drugoj strani.


31

Banca Intesa Beograd CA mora da izvrši sve identifikacione aktivnosti i procesira aplikaciju za izdavanje sertifikata u okviru vremenskog perioda od sedam (7) radnih dana od dobijanja validnog zahteva. Nakon dostavljanja aplikacije za izdavanje sertifikata ili zahteva za obnavljanjem sertifikata Banca Intesa Beograd RA potvrñuje ili odbija dostavljene zahteve. Nakon potvrñivanja dostavljenih informacija u aplikaciji za izdavanje sertifikata, Banca Intesa Beograd RA potvrñuje ili odbija aplikaciju za izdavanje sertifikata. Nakon potvrñivanja aplikacije za izdavanje sertifikata, Banca Intesa Beograd RA šalje zahtev za izdavanje sertifikata do Banca Intesa Beograd CA.

4.3 Izdavanje sertifikata

Nakon dostave validnog zahteva korisnika za izdavanjem sertifikata, Banca Intesa Beograd CA sprovodi proces izdavanja odgovarajućeg sertifikata koji se sastoji od:

� Aktivnosti koje se sprovode od strane CA tokom procesa izdavanja, kao na primer procedura kada CA verifikuje digitalni potpis korisnika ili RA službenika na zahtevu i samo generisanje sertifikata.

� Mehanizama notifikacije koji se koriste od strane CA da bi se informisao korisnik o tome da mu je sertifikat izdat i da može da ga preuzme. U tom smislu, CA može da pošalje e-mailom izdati sertifikat korisniku, ili se može poslati informacija na koji način korisnik može download-ovati sertifikat sa repozitorijuma CA.

� Isporuke samog sertifikata korisniku, kao i ureñaja za generisanje digitalnog potpisa (smart kartica) na kome je izgenerisan asimetrični par ključeva, ukoliko je ta operacija izvršena u okviru CA tela.

Ova procedura se detaljno opisuje u CPS dokumentu.

4.4 Prihvatanje sertifikata

Izdati Banca Intesa Beograd CA sertifikat se smatra prihvaćenim od strane korisnika ukoliko se bilo koji od dole navedenih uslova ispuni:

� Potvrda prijema svojeručnim potpisom na odgovarajućoj dostavnici,

� Potvrda prijema poslata elektronskm poštom od strane korisnika,

� Korišćenje standardne on-line forme uz odgovarajući elektronski potpis korisnika gde je to moguće primeniti,

� Korišćenje sertifikata prvi put uz odgovarajući elektronski potpis korisnika,


32

� Petnaest (15) dana nakon preuzimanja ukoliko korisnik ne javi da postoje bilo kakvi problemi u izdatom sertifikatu.

Bilo koja primedba na prihvatanje izdatog sertifikata mora biti eksplicitno dostavljena do Banca Intesa Beograd CA, kao sertifikacionom telu – izdavaocu. Potvrda odbijanja koja uključuje sva eventualna polja u sertifikatu koja sadrže pogrešne informacije mora takoñe biti dostavljena.

4.5 Koriš ćenje sertifikata i asimetri čnog para klju ča

U ovom poglavlju se definišu odgovornosti koje se odnose na koriščenje asimetričnog para ključeva i sertifikata, i to:

� Odgovornosti korisnika – korisnik se obavezuje da će koristiti privatni ključ i izgenerisani sertifikat od strane Banca Intesa Beograd CA samo u predviñenim aplikacijama Banke (e-banking, web krediti, Broker assistance, itd.) koje su navedene u ovoj CP, kao i u skladu sa definisanim načinom korišćenja ključa u samom sertifikatu (Key Usage i Enhanced Key Usage ekstenzije). Korišćenje privatnog ključa i sertifikata predstavlja deo korisnikovog ugovora sa CA. U tom smislu, korisnik može koristiti svoj privatni ključ samo nakon prihvatanja odgovarajućeg sertifikata. Takoñe, korisnik mora prestati da koristi svoj privatni ključ nakon isticanja perioda validnosti ili povlačenja izdatog sertifikata.

� Odgovornost treće strane – treća strana je obavezna da prihvata izdate sertifikate Banca Intesa Beograd CA samo u onim aplikacijama koje su definisane u ovoj CP, kao i sa predviñenim načinom korišćenje sertifikata definisanom u samom sertifikatu. Treća strana je obavezna da propisno i uspešno primenjuje operaciju javnog ključa koji ekstrahuje iz izdatog sertifikata i odgovorna je da sprovodi proveru statusa povučenosti datog sertifikata korišćenjem metoda koji je definisan u CP i CPS dokumentima Banca Intesa Beograd CA.

4.6 Obnavljanje sertifikata

Obnavljanje sertifikata predstavlja proceduru izdavanja novog sertifikata korisniku bez promene javnog ključa korisnika, niti bilo kog drugog podatka koji se nalazi u postojećem sertifikatu, izuzev perioda validnosti. Neophodno je da aplikacije koje koriste sertifikate obezbede servis upozorenja korisnika mesec dana pre isteka sertifikata da je sertifikat prišao kraju svog životnog veka i da ga treba obnoviti. Obnovu vrši sam korisnik putem odgovarajućeg servisa u okviru web aplikacije Banca Intesa Beograd CA.


33

Sertifikaciono telo automatski obnavlja sertifikat, tj. automatski procesira dostavljeni zahtev i dostavlja obnovljeni sertifikat korisniku u cilju smeštanja na smart karticu (ukoliko je prvi sertifikat izdat na smart kartici). Autentifikacija korisnika u cilju obnove sertifikata se vrši na isti način kao i autentifikacija na samu aplikaciju – pomoću PIN-a i smart kartice (dvo-faktorska autentifikacija).

4.7 Generisanje novog para klju čeva i sertifikata korisnika

Korisnici kojima je sertifikat istekao, ukoliko žele da dobiju novi sertifikat, moraju da podnesu zahtev za izdavanje sertifikata koji je isti kao i svaki novi zahtev za dobijanje sertifikata. U tom slučaju, generiše se novi par asimetričnih ključeva. Takoñe, ukoliko je sertifikat korisnika povučen, a razlog za povlačenje je kompromitacija ključa, korisnik može dobiti novi sertifikat samo na osnovu generisanog novog para asimetričnih ključeva i putem procedure koja je identična dostavljanju zahteva za izdavanje novog sertifikata. Nakon dostavljanja zahteva za izdavanjem novog sertifikata, dalja procedura je u potpunosti identična kao i procedura za dobijanje prvog sertifikata.

4.8 Modifikacije sertifikata korisnika


4.9 Suspenzija i povla čenje sertifikata

4.9.1 Povlačenje sertifikata

Nakon odgovarajućeg zahteva od strane Banca Intesa Beograd RA ili samog korisnika, Banca Intesa Beograd CA vrši povlačenje izdatog elektronskog sertifikata u slučaju:

� Gubitka, krañe, modifikacije, neautorizovanog objavljivanja ili neke druge kompromitacije privatnog ključa korisnika sertifikata.

� Da je subjekt sertifikata narušio materijalne obaveze koje su definisane ovom CP ili u CPS dokumentu.

� Da izvršenje odgovarajućih obaveza lica koja su navedena u ovoj CP kasni ili je sprečeno usled prirodne katastrofe, računarskog ili komunikacionog otkaza,


34

ili usled drugog uzroka koji izlazi van kontrole datog lica, i kao rezultat, informacije o drugom licu su materijalno ugrožene ili kompromitovane.

� Da se desila promena odreñenih informacija koje se sadrže u sertifikatu datog lica.

Ako se desi neki od gore pomenutih dogañaja, korisnik mora odmah da kontaktira Banca Intesa Beograd RA ili Banca Intesa Beograd CA u cilju dostavljanja zahteva za povlačenjem sertifikata. Pomenuti kontakt može biti on-line ili putem nekih drugih kanala. Banca Intesa Beograd CA povlači sertifikat promptno nakon verifikacije identiteta strane koja je zahtevala povlačenje (službenik Banca Intesa Beograd RA, CA ili sam korisnik) i potvrdom da je zahtev podnet u skladu sa procedurom zahtevanom u ovoj CP, kao i u CPS dokumentu. Zahtev za povlačenjem sertifikata odgovarajućem ovlašćenom licu nekog pravnog lica može podneti i zakonski zastupnik datog pravnog lica ukoliko iz bilo kog razloga prestaje potreba da navedeni ovlašćeni radnik poseduje sertifikat. Verifikacija identiteta može biti izvršena na osnovu informacionih elemenata koji su sadržani u identifikacionim podacima koje je korisnik dostavio do Banca Intesa Beograd RA. Nakon ispunjenja pomenutih uslova, Banca Intesa Beograd CA izvršava promptnu aktivnost u cilju povlačenja sertifikata. Treće strane moraju koristiti on-line resurse koje Banca Intesa Beograd CA čini raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele da se oslone. Lista povučenih sertifikata (CRL – Certificate Revocation List) Banca Intesa Beograd CA se ažurira na svakih 15 dana. Treće strane moraju biti u saglasnosti sa Banca Intesa Beograd CA politikom a posebno sa obavezama trećih strana publikovanim u ovoj CP ili CPS dokumentu.

4.9.2 Suspenzija sertifikata

Funkcija suspenzije Banca Intesa Beograd CA sertifikata je podržana. Zahtev za suspenzijom može biti dostavljen od strane korisnika ili Banca Intesa Beograd RA. Zahtev se dostavlja lično u RA, odgovarajućom digitalno potpisanom porukom od strane korisnika ili Banca Intesa Beograd RA ili putem nekih drugih kanala komunikacije. Zahtev se može dostaviti i od strane zakonskog predstavnika pravnog lica za čije ovlašćeno lice je izdat dati sertifikat.


35

Suspenzija sertifikata traje onoliko dugo koliko traju i uslovi zbog kojih je suspenzija i zahtevana. Kada ovi uslovi prestanu da važe, korisnik, ili zakonski zastupnik datog pravnog lica, može zahtevati reaktivaciju svog sertifikata ili se to vrši automatski. Banca Intesa Beograd CA publikuje sve povučene i suspendovane sertifikate u svojoj CRL listi. Za vreme suspenzije, ili nakon povlačenja sertifikata, period operativnog rada datog sertifikata se smatra završenim.

4.10 Servisi provere statusa sertifikata

Banca Intesa Beograd CA publikuje sve povučene i suspendovane sertifikate u svojoj CRL listi. Lista povučenih sertifikata (CRL – Certificate Revocation List) Banca Intesa Beograd CA se ažurira na svakih 15 dana. Treće strane moraju koristiti on-line resurse koje Banca Intesa Beograd CA čini raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele da se oslone.

4.11 Prestanak koriš ćenja sertifikata

Nakon prestanka korišćenja sertifikata izdatog od strane Banca Intesa Beograd CA, dati sertifikat mora biti povučen. Prestanak korišćenja sertifikata može biti iz sledećih razloga:

� Korisnik želi da prekine korišćenje sertifikacionih servisa Banca Intesa Beograd CA.

� Banca Intesa Beograd CA je prestalo sa pružanjem usluga sertifikacije.

4.12 Čuvanje i rekonstrukcija privatnog klju ča korisnika

Ovo poglavlje u ovom trenutku nije primenljivo u okviru ove CP. Meñutim, stvaranjem uslova za generisanje višestrukih parova asimetričnih ključeva za korisnike u okviru Banca Intesa Beograd CA, jedan par ključeva će biti generisan u okviru CA i služiće za šifrovanje dokumenata putem procedure digitalne envelope za datog korisnika. U cilju omogućavanja dešifrovanja dokumenata šifrovanih za datog korisnika u incidentnim slučajevima i za eventualne službene potrebe, neophodno je da se dati privatni ključ čuva na bezbedan način na nekom arhivnom serveru u okviru CA. U vezi toga će biti definisane i odgovarajuće procedure za bezbedno čuvanje privatnog


36

ključa, za postupak aktiviranja datog privatnog ključa, kao i definicija u kojim sve slučajevima privatni ključ odreñenog korisnika može biti izvučen iz arhivnog servera. Napominjemo još jednom da se ovde radi o privatnom ključu koji isključivo služi za dešifrovanje digitalne envelope. Privatni ključ korisnika kojim se vrši digitalni potpis ne sme biti nigde čuvan izuzev na smart kartici korisnika.


37

5. Upravne, operativne i fizi čke bezbednosne kontrole

Ovo poglavlje opisuje sve one bezbednosne kontrole koje ne spadaju direktno u tehničke kontrole i koje se koriste od strane Banca Intesa Beograd CA u cilju realizacije funkcija generisanja ključeva, autentifikacije subjekta, izdavanja sertifikata, povlačenja sertifikata, revizije i arhiviranja. Ove ne-tehničke bezbednosne kontrole su kritične za poverenje u sertifikate izdate od strane Banca Intesa Beograd CA pošto nedostatak bezbednosti može kompromitovati operativni rad CA rezultujući na primer u kreiranju sertifikata i CRL sa pogrešnim informacijama ili kompromitacijom privatnog ključa CA.

5.1 Fizičke bezbednosne kontrole

Banca Intesa Beograd CA implementira fizičke kontrole u svojim prostorijama uključujući sledeće:

� Banca Intesa Beograd CA bezbedne prostorije su locirane u prostoru koji odgovara potrebama izvršenja operacija visoke bezbednosti. Postoje označene zone sa fizičkom kontrolom pristupa i zaključane kancelarije sa odgovarajućim sefovima.

� Fizički pristup je ograničen implementacijom odgovarajućih mehanizama kontrole pristupa iz jedne u drugu zonu bezbednosti, kao i u zonu visoke bezbednosti. U tom smislu, CA operacije su locirane u okviru bezbedne računarske sobe koja je podržana fizičkim monitorisanjem i bezbednosnim alarmima, kao i da je obezbeñena podrška da prelazak iz zone u zonu može biti izveden samo korišćenjem tokena (beskontaktnih kartica) i listi kontrole pristupa.

� Napajanje i ventilacija se izvršavaju sa redundansom visokog nivoa.

� Prostorije su zaštićene od poplava.

� Prevencija i zaštita, kao i mere u odnosu na zaštitu od požara su implementirane.

� Medijumi se čuvaju na bezbedan način. Backup medijumi se takoñe čuvaju na odvojenoj lokaciji koja je fizički obezbeñena i zaštićena od požara i poplava.

� Iznošenje smeća se takoñe kontroliše.

5.2 Proceduralne kontrole

Banca Intesa Beograd CA sprovodi kadrovsku i upravnu praksu koja obezbeñuje razumnu sigurnost u poverljivost i kompetenciju zaposlenih, kao i zadovoljavajuće


38

performance u vezi sa njihovim dužnostima u domenu tehnologija koje se odnose na elektronski potpis i PKI sisteme. Svaki zaposleni Banca Intesa Beograd CA potpisuje izjavu da će se pridržavati pravne regulative u vezi zaštite podataka, kao i da će zadovoljiti sve postavljene zahteve u vezi sa poverljivošću. Svi zaposleni u Banca Intesa Beograd CA koji izvršavaju operacije povezane sa upravljanjem ključevima, kao i bilo koje druge operacije koje materijalno utiču na takve operacije, smatraju se dužnostima na poverljivim pozicijama. Poverljive uloge/dužnosti u Banca Intesa Beograd CA, izmeñu ostalih, su: RA i CA administrator, sistem evidentičar, kao i administrator za ICT bezbednost. Banca Intesa Beograd CA sprovodi inicijalno istraživanje svih zaposlenih koji su kandidati za poverljive uloge u cilju odreñivanja njihove poverljivosti i kompetencije. Tamo gde se zahteva dualna kontrola, potrebno je da najmanje dva poverljiva zaposlena Banca Intesa Beograd CA iskažu njihova podeljena znanja u cilju omogućavanja izvršenja tekućih operacija. Drugim rečima, u okviru Banca Intesa Beograd CA, nijednu osetljivu operaciju ne može izvršiti samo jedan zaposleni. Takoñe, svaka uloga/dužnost definiše odgovarajuće zahteve u pogledu identifikacije i autentifikacije korisnika. Takoñe, definisano je koje uloge/dužnosti mogu biti kombinovane od strane jednog zaposlenog a koje to ne smeju.

5.3 Kadrovske bezbednosne kontrole

5.3.1 Kvalifikacija i iskustvo

Banca Intesa Beograd CA izvršava neophodne aktivnosti u cilju provere zahtevane biografije, kvalifikacija, kao i iskustva neophodnog u cilju realizacije u okviru konteksta kompetencije specifičnog posla. Takve provere biografije tipično uključuju:

� Kriminalne osude za ozbiljne zločine,

� Pogrešne prezentacije informacija od strane kandidata,

� Odgovarajuće reference

.


39

5.3.2 Procedura provere biografije

Banca Intesa Beograd CA realizuje relevantne provere eventualnih zaposlenih na bazi statusnih izveštaja koji su izdati od strane kompetentnih autoriteta, izjava trećih strana ili izjava samih potencijalnih zaposlenih.

5.3.3 Zahtevi za obu čenošću

Banca Intesa Beograd CA obezbeñuje obuku za svoje zaposlene u cilju realizacije funkcija poslovanja CA i RA.

5.3.4 Ponovna obuka

Periodično ažuriranje obuke može takoñe biti izvršeno u cilju uspostave kontinuiteta i ažurnosti znanja zaposlenih, kao i odgovarajućih procedura.

5.3.5 Rotacija poslova


5.3.6 Kaznene mere u odnosu na zaposlene

Banca Intesa Beograd CA ima odgovarajuće mere za kažnjavanje zaposlenih za neovlašćene aktivnosti, neovlašćeno korišćenje autoriteta, kao i neovlašćeno korišćenje sistema za svrhu sankcija za odreñeno neposlovno i rizično ponašanje, koje može biti različito u zavisnosti od različitih okolnosti.

5.3.7 Kontrole nezavisnih lica pod ugovorom

Nezavisna lica pod ugovorom su subjekti istih procedura zaštite privatnosti i uslova poverljivosti kao i zaposleni Banca Intesa Beograd CA.

5.3.8 Dokumentacija za inicijalnu obuku i ponovnu o buku

Banca Intesa Beograd CA čini dostupnom svu dokumentaciju zaposlenima koja se odnosi na inicijalnu obuku, doobuku ili za druge svrhe.

5.4 Procedure bezbednosnih provera/revizije

Procedure audit logovanja uključuju logovanje dogañaja i reviziju samog sistema, i implementirane su za svrhu održavanja bezbednog okruženja.


40

U tom smislu, Banca Intesa Beograd CA implementira sledeće kontrole:

� Banca Intesa Beograd CA zapisuje dogañaje koji uključuju ali nisu ograničeni na operacije vezane za životni ciklus sertifikata, pokušaje pristupa sistemu, kao i zahteve poslate sistemu.

� Banca Intesa Beograd CA čuva audit logove u realnom vremenu, koji se kasnije procesiraju i arhiviraju na sedmičnom nivou. U slučaju alarma ili incidentnog dogañaja, obaveštava se nadležna osoba iz Službe za ICT bezbednost i CA koja je odgovorna za upravljanje incidentima.

� Audit logovi se samo mogu videti od strane autorizovanog osoblja – sistem evidentičari.

� Banca Intesa Beograd CA implementira mehanizme zaštite audit logova od modifikacije i brisanja tako da niko ne može izvršiti pomenute operacije.

� Banca Intesa Beograd CA implementira procedure backup-a audit logova.

Subjekat koji je prouzrokovao odreñeni audit dogañaj se ne obaveštava o samoj audit aktivnosti. Banca Intesa Beograd CA realizuje s vremena na vreme procenu ranjivosti sistema.

5.5 Arhiviranje zapisa

Zahtevi za čuvanjem zapisa se primenjuju kako na Banca Intesa Beograd CA tako i na Banca Intesa Beograd RA. Opšte politike čuvanja zapisa Banca Intesa Beograd CA uključuju sledeće:

� Tipove zapisa – Banca Intesa Beograd CA čuva na bezbedan način zapise o Banca Intesa Beograd CA izdatim elektronskih sertifikatima, audit podacima, informacije o aplikacijama za izdavanje sertifikata, kao i dokumentaciju o samim aplikacijama za izdavanje sertifikata.

� Period čuvanja – Banca Intesa Beograd CA čuva na bezbedan način pomenute zapise o Banca Intesa Beograd CA elektronskim sertifikatima za period koji je naznačen u Banca Intesa Beograd CA CPS dokumentu.

� Zaštita arhive – uslovi za zaštitu arhive uključuju:

o Zapise koje samo sistem revizori (zaposleni kojima su pridružene dužnosti čuvanja podataka) mogu da vide i arhiviraju.

o Zaštitu u odnosu na modifikaciju arhive, kao što je čuvanje podataka na medijumu na koga se može upisati samo jednom.

o Zaštitu u odnosu na brisanje arhive.


41

o Zaštitu u odnosu na kvarenje karakteristika medijuma vremenom na kojima se arhiva čuva, kao na primer realizacija zahteva da se podaci periodično migriraju na sveže medijume.

� Proceduru back-up-a arhive.

� Zahteve za definisanjem vremenskog pečata zapisa u arhivi.

� Zahteve za procedurom čuvanja barem dve odvojene kopije arhive koje su pod kontrolom dve različite osobe.

� Procedure u cilju dobijanja i verifikacije arhivskih informacija – U cilju dobijanja i verifikacije arhivskih informacija Banca Intesa Beograd CA i Banca Intesa Beograd RA održavaju zapise pod jasnom hijerarhijskom kontrolom i sa jasnim opisom posla. Banca Intesa Beograd CA čuva zapise u elektronskoj ili papirnoj formi. Banca Intesa Beograd CA može zahtevati od svojih RA, korisnika ili njihovih agenata da dostave odgovarajuća dokumenta u cilju podrške ovog zahteva. Ovi zapisi mogu biti čuvani u elektronskoj, papirnoj i u bilo kojoj drugoj formi za koju Banca Intesa Beograd CA smatra da je odgovarajuća. Banca Intesa Beograd CA može da izmeni način čuvanja zapisa ako je to eventualno potrebno da bude u saglasnosti sa odreñenim zakonskim propisima.

5.6 Izmena klju čeva

Banca Intesa Beograd CA poseduje proceduru, detaljno opisanu u CPS dokumentu, koja se sprovodi u slučaju isteka sertifikata sertifikacionog tela ili povlačenja sertifikata sertifikacionog tela u skladu sa uslovima definisanim u ovoj CP. U oba slučaja, vrši se generisanje novog para ključeva seritifikacionog tela i distribucija novog sertifikata CA svim korisnicima i zainteresovanim stranama, kao i u slučaju prvog generisanog sertifikata CA.

5.7 Kompromitacija i oporavak u slu čaju katastrofe

U Posebnim internim pravilima rada, Banca Intesa Beograd CA dokumentuje procedure koje treba izvršiti pri rešavanju incidenata, kao i izveštavanja u vezi sa eventulanom kompromitacijom ključeva. Banca Intesa Beograd CA takoñe dokumentuje procedure oporavka koje se koriste ukoliko su računarski resursi, softver, i/ili podaci neispravni ili se sumnja da su neispravni. Banca Intesa Beograd CA teži da ponovo uspostavi bezbedno okruženje u koracima koji uključuju, ali nisu ograničeni samo na, povlačenje neispravnih, ili se sumnja da su neispravni, sertifikata odgovarajućih entiteta. Nakon toga, Banca Intesa Beograd CA može ponovo izdati novi sertifikat datom entitetu.


42

Plan kontinualnog poslovanja se implementira da osigura nastavak poslovanja nakon prirodne ili druge katastrofe.

5.8 Završetak rada CA ili RA

Pre nego što prekine svoje aktivnosti pružanja sertifikacionih usluga, Banca Intesa Beograd CA:

� Obezbeñuje svojim korisnicima koji imaju validne sertifikate obaveštenje o nameri da prestane sa pružanjem sertifikacione usluge, tj. da prestane da izvršava aktivnosti u svojstvu CA.

� Povlači sve sertifikate koji su još uvek validni (tj. one koji nisu povučeni ili im je istekao rok važnosti) nakon obaveštenja a bez zahteva za saglasnošću korisnika.

� Blagovremeno obaveštava o povlačenju sertifikata sve korisnike na koje se to odnosi.

� Čini razumne mere u cilju zaštite zapisa koje čuva u skladu sa ovom CP.

� Ukoliko je to moguće, obezbeñuje odgovarajuće mere sukcesije u smislu ponovnog izdavana sertifikata od strane drugog CA koje je sukcesor – nastavljač izdavanja sertifikata datog CA – i koje poštuje isti/ekvivalentni CP dokument.


43

6. Tehni čke bezbednosne kontrole

Ovo poglavlje definiše tehničke bezbednosne mere koje primenjuje Banca Intesa Beograd CA u cilju zaštite svojih kriptografskih ključeva i aktivacionih podataka (kao na primer PIN-ovi, lozinke, itd.). Bezbednosno upravljanje ključevima je kritično u cilju osiguranja da su svi ključevi i aktivacioni podaci zaštićeni i da se koriste isključivo od strane autorizovanih zaposlenih. Takoñe, definisane su i druge tehničke bezbednosne kontrole koje se koriste od strane CA da se bezbedno izvršavaju funkcije generisanja ključeva, autentifikacije korisnika, registracije korisnika, izdavanja sertifikata, povlačenja sertifikata, revizije i arhiviranja. U ovom poglavlju se takoñe definišu tehničke bezbednosne kontrole nad repozitorijumima, registracionim telima, korisnicima i drugim učesnicima.

6.1 Generisanje i instalacija asimetri čnog para klju čeva

6.1.1 Proces generisanja privatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA koristi bezbedan proces generisanja svog root asimetričnog para ključeva u skladu sa dokumentovanom procedurom. Banca Intesa Beograd CA distribuira deljene tajne za svoje privatne ključeve. Banca Intesa Beograd CA je vlasnik privatnih ključeva i poseduje autoritet da prenese odgovarajuće deljene tajne na autorizovane nosioce deljenih tajni.

6.1.1.1 Koriš ćenje root privatnog klju ča Banca Intesa Beograd CA

Privatni ključ root Banca Intesa Beograd CA se koristi za elektronsko potpisivanje Banca Intesa Beograd CA sertifikata (pre svega za izdavanje intermediate CA sertifikata), liste povučenih sertifikata, kao i akreditovanih root-potpisanih entiteta (CA trećih strana)). Druge svrhe korišćenja root privatnog kljuća Banca Intesa Beograd CA su zabranjene.


44

6.1.1.2 Tip privatnog klju ča Banca Intesa Beograd CA

Za potrebe svog root privatnog ključa i odgovarajuće potpisivanje, Banca Intesa Beograd CA koristi SHA-1/RSA kombinaciju hash i asimetričnog algoritma sa dužinom ključa od 2048 bita i peridom validnosti sertifikata od 10 godina. Period validnosti privatnog ključa Banca Intesa Beograd Root CA je 5 godina. Za svoje intermediate/operativne/online CA privatne ključeve i odgovarajući algoritam za elektronsko potpisivanje, Banca Intesa Beograd CA koristi SHA-1/RSA kombinaciju hash i asimetričnog algoritma sa dužinom ključa od 2048 bita, kao i period validnosti sertifikata od 5 godina. Period validnosti privatnog ključa Banca Intesa Beograd Intermediate CA je 2 godine. Banca Intesa Beograd CA zadržava pravo na izmenu gore navedenih kombinacija algoritama ukoliko se u teoriji i praksi pokažu slabosti navedenih algoritama i svetska kriptografska javnost preporuči pouzdanije algoritme, kao i u slučajevima definisanja novih standarda za hash i asimetrične algoritme.

6.1.2 Generisanje klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA bezbedno generiše i štiti svoje sopstvene privatne ključeve, korišćenjem bezbednih i pouzdanih sistema, i primenjuje neophodne preventivne mere u cilju sprečavanja kompromitacije ili neautorizovanog korišćenja. Banca Intesa Beograd CA implementira i dokumentuje procedure generisanja ključeva u skladu sa ovom CP. Banca Intesa Beograd CA primenjuje javne, internacionalne i Evropske standarde u vezi bezbednih i pouzdanih sistema.

6.1.3 Ureñaji za generisanje klju čeva Banca Intesa Beograd CA

Generisanje asimetričnog para ključeva Banca Intesa Beograd CA se dešava u okviru bezbednog kriptografskog ureñaja, smart kartici, koji zadovoljava odgovarajuće zahteve u skladu sa meñunarodnim standardima, kao na primer FIPS 140-2 L3 ili Common Criteria EAL4+ standardom (CWA 14169).

6.1.4 Kontrole generisanja ključeva Banca Intesa Beograd CA

Generisanje asimetričnog para ključeva Banca Intesa Beograd CA zahteva kontrolu od više od jednog, na odgovarajući način autorizovanog, zaposlenog koji imaju poverljive pozicije i dužnosti. Autorizacija procedure generisanja ključeva se mora izvršiti od strane više od jednog člana upravne strukture Banca Intesa Beograd CA.


45

6.2 Zaštita privatnog klju ča

Banca Intesa Beograd CA koristi odgovarajuće kriptografske ureñaje u cilju realizacije zadataka upravljanja ključevima CA: hardverski bezbednosni moduli (HSM - Hardware Security Modules) i/ili smart kartice. Ovi ureñaji zadovoljavaju zahteve iz FIPS PUB 140-2 nivo 2 ili viši i Common Criteria EAL4+ standard (CWA 14169), koji garantuju, izmeñu ostalog da je bilo koji pokušaj narušavanja integriteta ureñaja ili kriptografske memorije istovremeno detektovan, i da privatni ključevi ne mogu da napuste ureñaj. Hardverski i softverski mehanizmi koji štite privatne ključeve CA su dokumentovani u Posebnim internim pravilima rada. Dokumenti prikazuju da su mehanizmi zaštite CA ključa u najmanju ruku ekvivalentne snage kao i sami CA ključevi koji se štite. HSM ureñaji i/ili smart kartice ne smeju da napuštaju Banca Intesa Beograd CA prostorije izuzev retkih prilika unapred definisanih premeštanja i preseljenja. Banca Intesa Beograd CA čuva zapise u vezi svih tih premeštanja ili preseljenja. U slučaju da odgovarajući HSM zahteva održavanje ili popravku, koja se ne može izvršiti u okviru Banca Intesa Beograd CA prostorija, oni se onda bezbedno prenose do njihovog proizvoñača uz brisanje kompletnog kriptografskog materijala na njemu i uz poštovanje svih neophodnih bezbednosnih mera, detaljno opisanih u CPS dokumentu. Privatni ključ Banca Intesa Beograd CA se ne obnavlja. Privatni ključ Banca Intesa Beograd CA će biti uništen na kraju svog životnog ciklusa.

6.2.1 Čuvanje privatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA koristi bezbedni kriptografski ureñaj da čuva svoje privatne ključeve u skladu sa meñunarodnim zahtevima iskazanim u FIPS 140-2 L2 i/ili viši ili Common Criteria EAL4+ standardu (CWA 14169).

6.2.1.1 Kontrole čuvanja klju ča Banca Intesa Beograd CA

Procedura čuvanja privatnog ključa Banca Intesa Beograd CA zahteva višestruke kontrole od strane na odgovarajući način autorizovanog osoblja sa poverljivim rolama. Autorizacija procedure čuvanja ključeva i autorizacija odgovarajućeg osoblja mora biti izvršena od strane više od jednog člana upravne strukture.


46

6.2.1.2 Backup klju čeva Banca Intesa Beograd CA

Banca Intesa Beograd CA privatni ključ se ne backup-uje, tj. ne prave se rezervne kopije privatnog ključa.

6.2.1.3 Procedura deljenja tajni

Procedura deljenja tajni Banca Intesa Beograd CA koristi višestruke autorizovane nosioce u cilju da zaštiti i poboljša poverljivost privatnih ključeva. Privatni ključ Banca Intesa Beograd CA se koristi pod uslovima definisanim u okviru k od n kontrole od strane više zaposlenih sa poverljivim ulogama. Nosioci deljenih tajni (staraoci) Banca Intesa Beograd CA imaju zadatak da aktiviraju i deaktiviraju privatni ključ. Privatni ključ je tada aktivan u definisanom periodu vremena.

6.2.1.4 Prihvatanje deljenih tajni

Pre nego što nosilac deljene tajne prihvati deljenu tajnu on mora lično da se upozna sa kreiranjem, ponovnim kreiranjem i distribucijom tajne na sledećeg člana lanca poverljivosti. Nosilac deljene tajne može primiti deljenu tajnu na fizičkom medijumu, kao što je odreñeni hardverski kriptografski modul (na primer smart kartica) koji je potvrñen za korišćenje od strane Banca Intesa Beograd CA. Banca Intesa Beograd CA čuva pisane zapise u vezi distribucije deljene tajne.

6.2.2 Distribucija deljenih tajni za aktivaciju pri vatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA dokumentuje sopstvenu distribuciju deljenih tajni za aktivaciju svog privatnog ključa i ima mogućnost da izmeni način distribucije tokena u slučaju da staraoci/nosioci tokena zahtevaju da budu zamenjeni u njihovim rolama kao staraoci/nosioci tokena.

6.2.3 Uništavanje privatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA privatni ključevi se uništavaju na kraju njihovog životnog veka u cilju garancije da oni neće nikada biti ponovo aktivirani i korišćeni. Privatni ključevi Banca Intesa Beograd CA se uništavaju tako što se isti unište, kao i brisanjem njihovih deljenih delova/tajni.


47

Proces uništavanja ključeva je dokumentovan u Posebnim internim pravilima rada i odgovarajući zapisi su arhivirani.

6.3 Neki aspekti upravljanja parom klju čeva

Banca Intesa Beograd CA arhivira svoj sopstveni javni ključ. Banca Intesa Beograd CA izdaje korisničke sertifikate za periodom korišćenja kao što je naznačeno u sertifikatima.

6.4 Aktivacioni podaci

Banca Intesa Beograd CA bezbedno procesira aktivacione podatke pridružene privatnim ključevima CA, kao i svim drugim privatnim ključevima u datom PKI sistemu (intermediate CA, RA, korisnici).

6.5 Bezbednosne kontrole ra čunara

Banca Intesa Beograd CA implementira bezbednosne kotrole nad računarima koji se koriste u okviru datog PKI sistema.

6.6 Životni ciklus bezbednosnih kontrola

Banca Intesa Beograd CA realizuje periodične razvojne i bezbednosne upravljačke kontrole.

6.7 Mrežne bezbednosne kontrole

Banca Intesa Beograd CA održava i primenjuje visok nivo sistema mrežne bezbednosti, uključujući primenu firewall ureñaja i intrusion detection/prevention sistema.

6.8 Vremenski pe čat



48

7. Profili sertifikata i CRL lista

Ovo poglavlje specificira formate sertifikata i CRL lista koje izdaje Banca Intesa Beograd CA.

7.1 Profili sertifikata

Banca Intesa Beograd CA izdaje sledeće vrste sertifikata:

� Root CA za interne i eksterne korisnike – na smart kartici;

� Intermediate CA za eksterne korisnike – na smart kartici;

� Intermediate CA (Microsoft - Enterprise) za interne korisnike;

� Intermediate CA (Microsoft – Standalone) za uspostavu interne VPN (IPSec) mreže u Banci – Enterprise VPN

� (Opciono) različiti Intermediate CA sertifikati

� Sertifikati internih korisnika

o Zaposleni Banke – elektronski sertifikat na smart kartici – CID (Corporate ID)

o AdminWeb korisnici – elektronski sertifikat na smart kartici (posebna smart kartica)

o Poslovni saradnici - pojedinci iz partnerskih firmi – elektronski sertifikat na smart kartici (USB smart card token – iKey) za udaljeni pristup mreži Banke (VPN (IPSec))

� Sertifikati eksternih korisnika

o Fizička lica

� Za fizička lica – na mini CD medijumu za potrebe elektronskog home banking sistema – elektronski sertifikat (generički),

� (Opciono) Za fizička lica za potrebe realizacije elektronskog home banking sistema – na smart kartici – Maestro multiaplikativna EMV platna kartice – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za fizička lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o Pravna lica

� Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva Banca Intesa ad Beograd – na smart


49

kartici – e-banking kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),


� Za pravna lica – aplikacija Broker assistance – na smart kartici - elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica koja žele da budu CA u okviru PKI sistema Banca Intesa ad Beograd – (opciono) root signing program elektronski sertifikat,

� Sertifikati informacionih resursa – bez smart kartice (kako za interne tako i za eksterne korisnike):

o Za zaštitu e-mail sistema

o SSL sertifikati

o Code Signing sertifikati

o VPN (IPSec) sertifikati

Ovaj dokument predstavlja Politiku sertifikacije (u daljem tekstu CP – Sertificate Policy) Banca Intesa Beograd CA za prav na lica - eksterne korisnike Banca Intesa ad Beograd.

7.1.1 Opšti profil sertifikata

Opšti profil Banca Intesa Beograd CA sertifikata:

Ime profila Period validnosti certifikata

Period validnosti privatnog ključa

Basic Constraints Ekstenzija

End Entity|CA, Path length=x

Čuvanje ključeva Smart kartica | mini CD Zajedničke ekstenzije Authority Key Identifier

Subject Key Identifier Authority Information Access CRL Distribution Point


50

Dužina ključeva 1024, 2048 bita Key Usage ekstenzija – moguće vrednosti

Digital Signature Non-Repudiation Key Encipherment Data Encipherment Key Agreement

Certificate Signing CRL Signing Encipher Only Decipher Only

Enhanced Key Usage Ekstenzija

Client Authentication Server Authentication Email Protection Code Signing Timestamping

OID Politike URL za politiku certifikacije

7.1.2 Profil Root CA sertifikata Banca Intesa Beogr ad CA

Profil root CA sertifikata:


10 godina


5 godina

Ekstenzija osnovnih ograničenja

CA

Čuvanje ključeva Smart kartica Zajedničke ekstenzije Authority Key Identifier

Subject Key Identifier Dužina ključa 2048 bita Ekstenzija korišćenja ključa

Certificate Signing Off-Line CRL signing CRL Signing

7.1.3 Profil Intermediate CA sertifikata Banca Inte sa Beograd CA

Profil intermediate CA sertifikata:


5 godina

Period validnosti privatnog 2 godine


51

ključa Ekstenzija osnovnih ograničenja

CA


Subject Key Identifier Authority Information Access CRL Distribution Point

Dužina ključa 2048 bita Ekstenzija korišćenja ključa

Certificate Signing Off-Line CRL signing CRL Signing

7.1.3 Profil sertifikata korisnika – pravnog lica B anca Intesa Beograd CA

Banca Intesa Beograd CA publikuje u okviru CPS dokumenta profile sertifikata koje koristi za sve tipove sertifikata koje izdaje. U ovom dokumentu je prikazan generalni profil sertifikata za pravno lice koje izdaje Banca Intesa Beograd CA.

Ime profila Standardni sertifikat za pravno lice Period validnosti certifikata

3 godine


3 godine

Ekstenzija osnovnih ograničenja

End Entity


Subject Key Identifier Authority Information Access CRL Distribution Point Certificate Policies

Dužina ključa 1024 bita Ekstenzija korišćenja ključa

Digital Signature Key Encipherment Data Encipherement

Ekstenzija naprednog korišćenja ključa

Client Authentication (1.3.6.1.5.5.7.3.2) Email Protection (1.3.6.1.5.5.7.3.4)

OID Politike 1.3.6.1.4.1.24885.1.2.2.x.3.1 URL za CPS http://trust.bancaintesabeograd.com/resources/Banca

Intesa ad Beograd Digitrust_cps.pdf


52

Pri čemu navedno slovo „x“ u okviru OID-a politike sertifikacije uzima vrednost 1, 2, 3 ili 4, prema sledećem:

� x=1 – e-banking korisnik,

OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)

� x=2 – korisnik web kredita

OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)

� x=3 – korisnik Broker assistance sistema

OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)

� x=3 – pravna lica partneri

OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)

7.2 Profil CRL liste

U skladu sa ITU-T X.509v2 i IETF PKIX RFC 2459, Banca Intesa Beograd CA podržava izdavanje CRL lista koje su u saglasnosti sa sledećim uslovima:

� Brojevi verzija su podržani za CRL liste,

� CRL i CRL ekstenzije su popunjene i njihova kritičnost je posebno naznačena.

Profil Banca Intesa Beograd CA CRL (Sertificate Revocation List) liste je prikazan u sledećoj tabeli:

Version [Version 1] Issuer Name

CountryName=[Root Sertificate Country Name], OrganizationName=[Root Sertificate Organization], commonName=[Root Sertificate Common Name]

This Update [Date of Issuance] Next Update [Date of Issuance + 15 days] Signature Algorithm identifier Authority Key identifier

CRL Entries Sertificate Serial Number [Sertificate Serial Number] Date and Time of Revocation [Date and Time of Revocation]

Revoked sertificates

CRL reason code

7.3 OCSP profil



53

8. Provera saglasnosti sa Politikom sertifikacije

Banca Intesa Beograd CA vrši periodičnu reviziju/proveru saglasnosti svojih politika, uključujući ovu CP što uključuje i periodičnu superviziju od strane Nadležnog organa Republike Srbije. Rad Banca Intesa Beograd CA je takoñe u saglasnosti sa najvažnijim meñunarodnim i Evropskim standardima u ovoj oblasti, kao i sa Evropskom direktivom 1999/93/EC o elektronskim potpisima. U domenu izdavanja elektronskih sertifikata, Banca Intesa Beograd CA radi u okviru ograničenja definisanim u Zakonu o elektronskom potpisu Republike Srbije, kao i u odgovarajućim podzakonskim aktima. Banca Intesa Beograd CA prihvata pod odreñenim uslovima i proveru/reviziju internih procedura i pravila rada koja nisu javno dostupna. Banca Intesa Beograd CA evaluira rezultate ovakvih provera pre nego što ih implementira. Banca Intesa Beograd CA sprovodi redovne interne revizije usklañenosti poslovanja sa ovom CP, kao i sa CPS dokumentom. Ukoliko se Banca Intesa Beograd CA akredituje za izdavanje kvalifikovanih elektronskih sertifikata, tada će Nadležni organ za poslove akreditacije i supervizije PKI sistema u Srbiji vršiti obaveznu superviziju Banca Intesa Beograd CA barem jednom godišnje.


54

9. Drugi poslovni i pravni aspekti

9.1 Cene

Banca Intesa Beograd CA ne naplaćuje korišćenje Banca Intesa Beograd CA izdatih sertifikata korisnicima elektronskih servisa Banca Intesa ad Beograd, i to:

� Internim korisnicima Banke,

� fizičkim licima u home banking sistemu Banke,

� pravnim licima u e-banking sistemu Banke, kao i u drugim aplikacijama za pravna lica (web krediti, Broker assistance, itd.),

� korisnicima sertifikata za informacione resurse.

Banca Intesa Beograd CA zadržava pravo da menja uslove korišćenja sertifikata od strane pomenutih korisnika. Banca Intesa Beograd CA naplaćuje korišćenje Banca Intesa Beograd CA izdatih sertifikata onim korisnicima – trećim licima za koje Banca Intesa Beograd CA outsource-uje odgovarajuću sertifikacionu uslugu. Banca Intesa Beograd CA zadržava pravo da menja cene svojih sertifikata u ovim slučajevima. Objavljivanje cena sertifikata i drugih sertifikacionih usluga se vrši putem web sajta Banca Intesa Beograd CA, partnera Banca Intesa Beograd CA (treća lica) ili putem odgovarajućeg ugovora tamo gde je to primenljivo.

9.2 Finansijska odgovornost

Banca Intesa Beograd CA ne prihvata nikakvu drugu odgovornost koja izlazi iz pokrivanja definisanog ovom CP. Korisnik je dužan da obešteti Banca Intesa Beograd CA u odnosu na bilo koje aktivnosti ili propuste u odgovornosti, bilo koje gubitke ili štetu, kao i za bilo kakve troškove bilo koje vrste, uključujući razumne naknade advokata, koje bi Banca Intesa Beograd CA mogao da ima kao rezultat:

� Bilo kog lažnog ili pogrešno prezentovanog podatka dostavljenog od strane korisnika ili njihovih agenata.

� Bilo kog propusta korisnika da dostavi materijalnu činjenicu da je pogrešna prezentacija ili propust učinjen iz nemarnosti ili sa namerom da se prevari


55

Banca Intesa Beograd CA, ili bilo koje lice koje prihvata informacije u dobijenom sertifikatu.

� Neobezbeñivanja odgovarajuće zaštite korisnikovog privatnog ključa, nekorišćenja bezbednog sistema kako je zahtevano, ili neizvršenja odgovarajućih preventivnih mera neophodnih da se spreči kompromitacija, gubitak, objavljivanje, modifikacija ili neautorizovano korišćenje korisnikovog privatnog ključa, ili napada na integritet Banca Intesa Beograd CA Root privatnog ključa.

� Kršenja bilo kojih zakona koji su primenljivi, uključujući one koji se odnose na zaštitu intelektualnih prava, viruse, pristup računarskim sistemima, itd.

9.3 Poverljivost poslovnih informacija


9.4 Privatnost i zaštita personalnih informacija

Banca Intesa Beograd CA se pridržava pravila zaštite privatnosti personalnih podataka i pravila poverljivosti kako je propisano u CPS dokumentu, kao i u odgovarajućim zakonskim dokumentima. Banca Intesa Beograd CA ne objavljuje, niti se zahteva da objavljuje, bilo koju poverljivu informaciju bez autentifikovanog i potvrñenog zahteva od strane:

� Same strane za koju se takva informacija i čuva,

� Odgovarajućeg suda.

Banca Intesa Beograd CA može naplatiti odgovarajuću administrativnu cenu za procesiranje ovakvih objavljivanja. Strane u komunikaciji koje zahtevaju i dobijaju poverljive informacije imaju dozvolu za to na osnovu pretpostavke da će oni te informacije koristiti za zahtevane svrhe, da će ih osigurati od kompromitacije, i da će se uzdržavati od njihovog korišćenja i objavljivanja trećim stranama. Banca Intesa Beograd CA telo i njegovi partneri mogu učiniti raspoloživom specifičnu politiku privatnosti u cilju zaštite personalnih podataka aplikanta koji zahteva izdavanje sertifikata od strane Banca Intesa Beograd CA ili njegovog partnera putem njihovih web sajtova i/ili CP ili CPS dokumenata.


56

9.5 Prava intelektualnog vlasništva

Banca Intesa Beograd CA poseduje i zadržava sva prava intelektualnog vlasništva pridružena svojim bazama podataka, web sajtovima, elektronskim sertifikatima koje izdaje, kao i bilo kojim drugim publikacijama koje na bilo koji način pripadaju ili potiču od strane Banca Intesa Beograd CA, uključujući i ovu CP.

9.6 Predstavljanje i garancije


9.7 Nepriznavanje garancije


9.8 Ograni čenja odgovornosti

Banca Intesa Beograd CA ne prihvata bilo kakvu drugu odgovornost osim one koja je eksplicitno definisana u ovom dokumentu. Banca Intesa Beograd CA ne može da prihvati odgovornost:

� za bilo kakve konsekvence prouzrokovane ovom CP,

� za aktivnosti koje su izvršene korišćenjem ovih sertifikata,

� za korišćenje ovih sertifikata od strane organizacija i/ili pojedinaca, ili

� za bilo šta drugo što nije eksplicitno opisano u ovom dokumentu.

Ni u kom slučaju (izuzev zloupotrebe ili namere) Banca Intesa Beograd CA nije odgovorno za:

� Bilo kakav gubitak profita.

� Bilo kakav gubitak podataka.

� Bilo koju indirektnu ili slučajnu štetu koja je prouzrokovana ili je vezana za korišćenje, isporuku, licencu, performance sertifikata ili elektronskih potpisa.

� Bilo koju transakciju ili uslugu ponuñenu ili u okviru obuhvata ove CP.

� Bilo koju drugu štetu izuzev onih koje potiču od opravdanog oslanjanja na verifikovane informacije koje se nalaze u izdatom sertifikatu.

� Bilo koju odgovornost koja se pojavila u slučaju greške u verifikovanim informacijama koja je rezultat greške, zloupotrebe ili namere aplikanta.


57

9.9 Odštete


9.10 Period važnosti i kraj validnosti Politike ser tifikacije


9.11 Pojedina čna obaveštenja i komunikacija sa učesnicima


9.12 Ispravke


9.13 Procedure rešavanja sporova

Banca Intesa Beograd CA se referiše na arbitražu u cilju rešavanja svih sporova koji se odnose na ovu CP. Ako se spor ne reši u okviru deset (10) dana nakon inicijalnog obaveštenja shodno pravilima CP, strane u sporu dostavljaju spor na arbitražu. Arbitraža se sastoji od 3 arbitra, svaka strana predlaže po jednog, dok trećeg predlažu zajedno obe strane u sporu. Mesto za arbitražu je Beograd, Srbija, a arbitri odreñuju sve troškove arbitraže. Za sve sporove koji se odnose na tehnologiju, kao i sporove koji se odnose na samu CP, strane u sporu prihvataju arbitražno telo koje će biti izabrano od strane vlade Srbije.

9.14 Zakon koji se poštuje

Ova CP je izdata u potpunosti u skladu sa odgovarajućom zakonskom regulativom države Srbije, i to pre svega sa Zakonom o elektronskom potpisu i odgovarajućim podzakosnkim aktima. Sve pravne stvari koje se odnose na Banca Intesa Beograd CA i/ili koji se odnose na sertifikate izdate od strane Banca Intesa Beograd CA će biti procesuirane od strane odgovarajućeg suda u Srbiji.


58

9.15 Saglasnost sa primenljivim zakonima


9.16 Razne odredbe


9.17 Druge odredbe


Documents

Banca Intesa ad Beograd Digitrust CP pravna lica 05