Kvalificirani certifikati za uslugu elektroničkog potpisaISP-SCD-012-2017-01 Pogreška! Nepoznat naziv svojstva doku-menta. Sadržaj ovog dokumenta vlasništvo je društva Intesa

Kvalificirani certifikati za uslugu elektroničkog potpisa

#withSIGN operativni priručnik

Distribucija: JAVNA

Oznaka dokumenta:

ISP - SCD - 01 - 2017 - 01

društvo usluga oznaka godina Verzija

ISP-SCD-012-2017-01 Pogreška! Nepoznat naziv svojstva doku-menta.

Sadržaj ovog dokumenta vlasništvo je društva Intesa Sanpaolo S.p.A. Sva prava pridržana.

Stranica 2 od 23

VERZIJE #withSIGN OPERATIVNOG PRIRUČNIKA

Verzija Datum izdavanja

Opis promjene

01 [19/10/2017] Prva verzija

ISP-SCD-01-2017-01 #withSIGN operativni priručnik

The contents of this document are the property of Intesa Sanpaolo S.p.A. All rights reserved.

Page 3 of 23

SADRŽAJ

VERZIJE #WITHSIGN OPERATIVNOG PRIRUČNIKA .............................................................. II

SADRŽAJ .................................................................................................................................. III

1. OPĆE INFORMACIJE ........................................................................................................... 5

1.1 Pregled ......................................................................................................................... 5

1.2 Definicije i tumačenje .................................................................................................. 5

1.3 Reference na zakonske odredbe .................................................................................. 5

1.4 Reference na norme .................................................................................................... 6

1.5 Skraćenice .................................................................................................................... 6

2. UVOD .................................................................................................................................. 8

2.1 Identifikacijski podaci Certifikacijskog autoriteta ...................................................... 8

2.2 Oznaka #withSIGN operativnog priručnika ................................................................ 8

2.3 Osoba odgovorna za ovaj #withSIGN operativni priručnik ......................................... 9

3. OPĆE ODREDBE .................................................................................................................. 10

3.1 Obveze Registracijskog autoriteta, Certifikacijskog autoriteta i Nositelja ................. 10 3.1.1 Obveze Certifikacijskog autoriteta i Registracijskog autoriteta ........................................ 10 3.1.2 Obveze Podnositelja zahtjeva/Nositelja......................................................................... 10

3.2 Ograničenje odgovornosti i odšteta ............................................................................ 11 3.2.1 Ograničenje odgovornosti ............................................................................................ 11 3.2.2 Odšteta ...................................................................................................................... 11

3.3 Vrijeme dostupnosti..................................................................................................... 11

4. OPERATIVNI ASPEKTI ........................................................................................................ 12

4.1 Sadržaj kvalificiranih certifikata za elektronički potpis .............................................. 12

4.2 Pravila organizacije djelatnika .................................................................................... 12

4.3 Postupak generiranja ključeva .................................................................................... 12 4.3.1 Postupak generiranja certifikacijskih ključeva ................................................................ 12 4.3.2 Postupak generiranja ključeva za vremenski žig ............................................................ 13

4.4 Postupak identifikacije i registracije Klijenata ............................................................ 13 4.4.1 Identifikacija i registracija Klijenata .............................................................................. 13 4.4.2 Aktivacija usluge elektroničkog potpisa i potpisivanje ugovora ....................................... 13 4.4.3 Postupak generiranja para ključeva (javnog i privatnog ključa) od strane Nositelja ......... 13 4.4.4 Izdavanje kvalificiranih certifikata za elektronički potpis................................................. 14

4.5 Postupak opoziva kvalificiranih certifikata za elektronički potpis .............................. 14 4.5.1 Zahtjev za opoziv dostavljen od strane Nositelja ........................................................... 14 4.5.2 Opoziv kvalificiranih certifikata za elektronički potpis od strane Certifikacijskog autoriteta

ili Registracijskog autoriteta ......................................................................................... 15 4.5.3 Okončanje postupka opoziva kvalificiranog certifikata za elektronički potpis .................... 15

4.6 Gubitak ili krađa Lozinke certifikata ............................................................................ 15

4.7 Gubitak ili krađa OTP uređaja ...................................................................................... 16

4.8 Postupak zamjene ključeva ......................................................................................... 16 4.8.1 Zamjena Nositeljevih potpisnih ključeva ....................................................................... 16 4.8.2 Zamjena certifikacijskih ključeva .................................................................................. 16

4.9 Upravljanje direktorijem kvalificiranih certifikata za elektronički potpis ................... 16 4.9.1 Direktorij kvalificiranih certifikata za elektronički potpis ................................................. 16 4.9.2 Objavljivanje kvalificiranih certifikata za elektronički potpis i CRL-a ................................ 17


The contents of this document are the property of Intesa Sanpaolo S.p.A. All rights reserved.

Page 3 of 23

4.9.3 Reproduciranje direktorija kvalificiranih certifikata za elektronički potpis na različitim

web-lokacijama ........................................................................................................... 17

4.10 Postupci zaštite osobnih podataka ......................................................................... 17

4.11 Postupak organiziranja datoteke kontrolnih zapisa ............................................... 18

4.12 Postupak upravljanja sigurnosnim kopijama podataka.......................................... 18 4.12.1 Postupak stvaranja sigurnosnih kopija podataka ........................................................... 18 4.12.2 Pohrana medija za zaštitu podataka ............................................................................. 18

4.13 Postupak upravljanja nezgodama i katastrofalnim događajima ............................ 18 4.13.1 Kvarovi računala ......................................................................................................... 18 4.13.2 Nedostaci softvera ...................................................................................................... 19 4.13.3 Kvar potpisnog uređaja Certifikacijskog autoriteta ......................................................... 19 4.13.4 Nedostaci certifikacijskog ključa ................................................................................... 19 4.13.5 Kompromitiranost glavne lokacije ................................................................................. 19

5. PRESTANAK PRUŽANJA USLUGE IZDAVANJA KVALIFICIRANIH CERTIFIKATA ZA ELEKTRONIČKI POTPIS ...................................................................................................... 20

5.1 Pojedinosti o prestanku pružanja usluge izdavanja kvalificiranih certifikata za elektronički potpis ....................................................................................................... 20

6. UPRAVLJANJE VREMENSKIM OZNAKAMA .......................................................................... 21

6.1 Usluga izdavanje vremenskih žigova ........................................................................... 21

6.2 Točnost vremenske oznake ......................................................................................... 21

7. PROCES VERIFIKACIJE ELEKTRONIČKOG POTPISA .......................................................... 22

7.1 Aplikacija za verifikaciju .............................................................................................. 22

7.2 Format dokumenata .................................................................................................... 22

7.3 Upoznatost s upozorenjima u vezi CRL-a .................................................................... 22

8. RADNI POSTUPAK ZA GENERIRANJE ELEKTRONIČKIH POTPISA ...................................... 23



Stranica 5 od 23

1. OPĆE INFORMACIJE

1.1 Pregled

Ovaj #withSIGN operativni priručnik (sukladno definiciji u nastavku) za cilj ima regulirati kvalificirane certifi-kate za usluge elektroničkog potpisa koje Intesa Sanpaolo S.p.A. sukladno Zakonodavnoj uredbi 82/2005

(Zakon o digitalnoj upravi) s naknadnim izmjenama i dopunama te važećim nacionalnim i Europskim zakoni-

ma i propisima pruža Klijentima (sukladno definiciji u nastavku) Stranih banaka (sukladno definiciji u nastav-ku) u vezi usluge digitalnog bankarstva (odnosno pristupa uslugama koje Strane banke pružaju putem da-

ljinskih kanala od strane Klijenata).

#withSIGN operativni priručnik usto je povezan s tehničkim pravilima za primjenu zakonskog okvira za

elektronički potpis sadržanog u uredbi DPCM od 22.02.2013. U slučaju izmjena zakona, ovaj se #withSIGN operativni priručnik mijenja sukladno istima.

1.2 Definicije i tumačenje

Sljedeći pojmovi korišteni u ovom #withSIGN operativnom priručniku imaju sljedeća značenja:

„Podnositelj zahtjeva“: Klijent koji traži izdavanje kvalificiranog certifikata za elektronički potpis; nakon izdavanja kvalificiranog certifikata za elektronički potpis, Podnositelj zahtjeva naziva se

Nositeljem; „Certifikacijski autoritet“: javni ili privatni pružatelj usluga povjerenja ovlašten za izdavanje

kvalificiranih certifikata za elektronički potpis putem certifikacijskog postupka sukladnog međunarodnim

normama te europskim i nacionalnim zakonima i propisima. U smislu ovog #withSIGN operativnog priručnika, Certifikacijski autoritet je Intesa Sanpaolo S.p.A.

„Lozinka certifikata“: lozinka koju Nositelj koristi u kontekstu postupaka vezanih uz kvalificirane certifikate za elektronički potpis;

„Klijent“: fizička osoba, potpisnik ugovora o usluzi digitalnog bankarstva sklopljenog sa Stranom

bankom; „#withSIGN operativni priručnik“: ovaj dokument sa svim naknadnim izmjenama i dopunama;

„Strana banka“: bilo koja strana banka iz grupacije Intesa Sanpaolo; „Nositelj“: Klijent kome je izdan kvalificirani certifikat za elektronički potpis; Nositelj je ovlašten koristiti

certifikat za elektroničko potpisivanje elektroničkih dokumenata, uz istovremeno osiguravanje

autentičnosti porijekla tih elektroničkih dokumenata i integriteta njihovog sadržaja, a uz poštivanje ograničenja predviđenih ugovorom o usluzi digitalnog bankarstva Strane banke;

„Intesa Sanpaolo“: Intesa Sanpaolo S.p.A., izdavatelj kvalificiranih certifikata za elektronički potpis; „OTP uređaj“: instrument koji Klijent koristi za generiranje OTP-a;

„Registracijski autoritet“: subjekt zadužen za identificiranje Podnositelja zahtjeva i odobravanje zahtjeva za izdavanje kvalificiranih certifikata za elektronički potpis. U smislu ovog #withSIGN

operativnog priručnika, Registracijski autoritet može biti bilo koja Strana banka.

1.3 Reference na zakonske odredbe

[Dlgs 82/2005]

Zakonodavna uredba br. 82 od 07.03.2005., objavljena u Službenom listu br. 112 od 16.05.2005. – Redovna dopuna br. 93 „Zakona o digitalnoj u-

pravi“ izmijenjenog Zakonodavnom uredbom br. 179 od 26.08.2016. ob-javljenom u Službenom listu br. 13.09.2016.



Stranica 6 od 23

[DPCM]

Premijerova uredba od 22.02.2013. –Tehnička pravila za izradu, primjenu

i verifikaciju naprednih, kvalificiranih i digitalnih elektroničkih potpisa te-meljem čl. 20. (3), 24. (4), 28. (3), 32. (3) t. b), 35. (2), 36. (2) i 71.

[DLGS196]

Zakonodavna uredna br. 196 od 30.06.2003. „Zakon o zaštiti osobnih po-

dataka“ objavljena u Redovnoj dopuni Službenog lista br. 174 od 29.07.2003. sa svim izmjenama i dopunama.

[CNIPA/CR/48]

CNIPA/CR/ 48 Okružnica br. 48 od 06.09.2005. (objavljena u Službenom listu br. 213 od 13.09.2005.), Postupak podnošenja zahtjeva za uvrštenje

na javnu listu pružatelja usluga certificiranja u skladu s čl. 28. (1) Pred-sjedničke uredbe br. 445 od 28.12.2000.

[Del 45/2009] Odluka br. 45 od 21.5.2009. – Pravila prepoznavanja i verifikacije elek-

troničkih isprava.

Uredba EU 910/2014 –

eIDAS

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke

transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

1.4 Reference na norme [LDAP2] Zeilenga, "Lightweight Directory Access Protocol version 2", Internet RFC 3494, ožujak 2003.

[PKCS7] B. Kaliski, “PKCS#7: Cryptographic Mepostupakage Syntax Version 1.5”, Internet RFC 2315, ožujak 1998.

[PKCS10] B. Kaliski, "PKCS#10: Certification Request Syntax - Version 1.7", Internet RFC 2986, studeni

2000. [SHA1] ISO/IEC 10118-3-2004, "Informacijska tehnologija – Sigurnosne tehnike - Hash-funkcije – 3.

dio: Namjenske hash-funkcije", 2004. [SHA-256] ISO/IEC 10118-3:2004, "Informacijska tehnologija – Sigurnosne tehnike - Hash-funkcije – 3.

dio: Namjenske hash-funkcije", ožujak 2004.

[X500] ISO/IEC 9594-1: 2005 “Informacijska tehnologija — Međusobno povezivanje otvorenih sustava — Imenik: Pregled koncepata, modela i usluga”.

[X509] ISO/IEC 9594-8: 2005 “Informacijska tehnologija — Međusobno povezivanje otvorenih sustava — Imenik: Okviri certifikata javnog ključa i atributnog certifikata”.

[RFC3647] Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework S. Chokhani, W. Ford, R. Sabecertifikat, C. Merrill, S. Wu.

[RFC 3778] The appplication PDF Taft, Pravetz, Zilles, Masinter, svibanj 2004.

1.5 Skraćenice

Sljedeći se pojmovi korišteni u ovom #withSIGN operativnom priručniku skraćuju na sljedeći način:

AgID

CNIPA

CRL

Agencija za digitalnu Italiju, bivša CNIPA

Nacionalni centar za informacijsku tehnologiju u državnoj upravi

Lista opozvanih certifikata

CPS

Pravilnik o postupcima pružanja usluga izdavanja certifikata



Stranica 7 od 23

DBMS

Sustav upravljanja bazom podataka

DN

Razlikovno ime

DNS

Sustav domenskih imena

DPR

Predsjednička uredba

HTTP

HyperText Transfer Protocol

ITSEC

Information Technology Security Evaluation Criteria

LDAP

Lightweight Directory Access Protocol

NEI

OTP

Nacionalni elektrotehnički institut "Galileo Ferraris" (na talijanskom: “Istituto Elettrotecnico Nazionale”)

Jednokratna lozinka

PDF

Prenosivi format dokumenta

PIN

Osobni identifikacijski broj

PKCS

Norma kriptografije javnog ključa

RFC

Zahtjev za očitovanje

RSA

Rivest-Shamir-Adleman

SHA-1

SHA-2

Sigurna hash-funkcija 1

Sigurna hash-funkcija 2

SSL

Secure Sockets Layer

URL

Jedinstveni lokator resursa

HSM

Modul za hardversku sigurnost



Stranica 8 od 23

2. UVOD

Elektronički potpis temelji se na asimetričnim ključevima, jednom javnom i jednom privatnom, koji jednom ili više primatelja jamče autentičnost porijekla elektronički potpisanih elektroničkih dokumenata i integritet

njihovog sadržaja, a ti primatelji mogu verificirati valjanost.

Novim se odredbama uvedenima čl. 8. [DPCM-a] Certifikacijskom autoritetu omogućuje pohrana privatnih ključeva Nositelja (odnosno ključeva koji se koriste za izradu elektroničkog potpisa) na posebnim

sigurnosnim uređajima (odnosno HSM-ima), a da se pritom korištenje ključeva odobrava isključivo Nositelju,

sukladno čl. 11. (2) [DPCM-a].

Tako korištenje elektroničkog potpisa više nije uvjetovano Nositeljevim posjedovanjem kitova za elektronički potpis (npr. pametne kartice, posebnog čitača i potrebnog softvera), a certifikacijski i registracijski autoriteti

mogu pružati korisnicima usluge elektroničkog potpisa putem izravnih kanala (internetskih i mobilnih).

Certifikacijski autoritet sukladno važećim zakonima i propisima dopušta Stranim bankama da Nositeljima

nude korištenje elektroničkih potpisa u sklopu izravnih kanala, pod uvjetom da Podnositelj zahtjeva i Strana banka potpišu poseban ugovor koji sadrži osnovne koncepte posjedovanja i upoznatosti. Nositelj može

pokrenuti proces elektroničkog potpisa pomoću OTP uređaja (što se smatra posjedovanjem) i Lozinke

certifikata (što se smatra ekskluzivnom upoznatošću s informacijama).

U ovom se #withSIGN operativnom priručniku objašnjavaju sljedeći procesi: postupci generiranja ključa za potpis i upravljanja u okviru usluga elektroničkog potpisa koje nudi Intesa

Sanpaolo; postupak aktiviranja elektroničkog potpisa putem (i) postupka autentikacije definiranog od strane Stranih

banaka za pristup izravnim kanalima, (ii) OTP uređaja i (iii) Lozinke certifikata;

radni postupci koje Certifikacijski autoritet i Registracijski autoritet primjenjuju u skladu s važećim zakonima i propisima;

Sljedeće se točke odnose na zahtjeve iz čl. 40. (3) a, b i c [DPCM-a].

2.1 Identifikacijski podaci Certifikacijskog autoriteta

Uslugu certificiranja pruža sljedeći subjekt:

Naziv: Intesa Sanpaolo S.p.A.

Sjedište: Piazza San Carlo, 156 10121 Torino Osoba po zakonu ovlaštena za zastupanje: Carlo Messina, glavni direktor i predsjednik uprave Matični br. u Registru trgovačkih društava

Torina: Gospodarsko-upravni registar (REA) br. 00799960158

PDV ID br.: 10810700152 Telefon (centrala): (+39) 011 555 1

ISO identifikacijska oznaka objekta (OID): 1.3.6.1.4.1.20052 Glavna web-lokacija (informacije): www.intesasanpaolo.com

Web-lokacija za uslugu izdavanja digitalnih certifikata:

ca.intesasanpaolo.com

2.2 Oznaka #withSIGN operativnog priručnika

Ovaj je #withSIGN operativni priručnik označen oznakom dokumenta ISP-SCD-01-2017-01 (prikazanoj i na

naslovnoj stranici) i sljedećim OID-om: 1.3.6.1.4.1.20052.1.3.1.



Stranica 9 od 23

Ovaj je #withSIGN operativni priručnik objavljen na web-lokaciji Certifikacijskog autoriteta pa je stoga

dostupan putem interneta.

Važeća verzija ovog #withSIGN operativnog priručnika dostupna je u elektroničkom formatu: na web-lokaciji Certifikacijskog autoriteta (https://ca.intesasanpaolo.com/);

na AgID-ovoj web-lokaciji;

na web-lokaciji Strane banke.

U slučaju odstupanja, uvijek je mjerodavna verzija objavljena na AgID-ovoj web-lokaciji.

2.3 Osoba odgovorna za ovaj #withSIGN operativni priručnik

Osoba odgovorna za ovaj #withSIGN operativni priručnik je:

Ezio Barbero

Intesa Sanpaolo Group Services S.c.p.A.



Stranica 10 od 23

3. OPĆE ODREDBE

3.1 Obveze Registracijskog autoriteta, Certifikacijskog autoriteta i Nositelja

3.1.1 Obveze Certifikacijskog autoriteta i Registracijskog autoriteta

Certifikacijski autoritet dužan je postupati u skladu s odredbama uredbe DLgs 82/2005, čl. 32., kojima se usvajaju sve organizacijske i tehničke mjere sprječavanja nastanka štete kod trećih osoba.

Certifikacijski autoritet koji sukladno čl. 27. [DLgs 82/2005] izdaje kvalificirane certifikate za elektronički potpis usto je dužan:

uredno identificirati Podnositelja zahtjeva, a taj posao obavlja Registracijski autoritet; jasno i potpuno obavijestiti Podnositelja zahtjeva o svojstvima kvalificiranih certifikata za elektronički

potpis i ograničenjima u korištenju istih; taj posao obavlja Registracijski autoritet;

temeljem uputa bez odlaganja dostavljenih od strane Registracijskog autoriteta pristupiti pravovreme-nom opozivu kvalificiranih certifikata za elektronički potpis i potrebnoj objavi;

usvojiti sigurnosne mjere za obradu osobnih podataka u skladu s važećim zakonima i propisima; tu obvezu izvršavaju i Registracijski autoritet i Certifikacijski autoritet;

izdavati kvalificirane certifikate za elektronički potpis na način propisan [DPCM-om], u skladu s uredbom [DLGS196] sa svim naknadnim izmjenama i dopunama;

pridržavati se tehničkih pravila iz [DPCM-a] i čl. 71. uredbe DLgs 82/2005;

voditi računa da sigurni uređaj za generiranje potpisa ima karakteristike i da ispunjava sigurnosne zah-tjeve iz čl. 35. uredbe [Dlgs 82/2005] i čl. 11. uredbe [DPCM];

čuvati evidencije, uključujući evidencije u elektroničkom formatu, svih informacija vezanih uz kvalificira-ne certifikate za elektronički potpis u razdoblju od najmanje 20 (dvadeset) godina kako bi se mogao

pružiti dokaz o certifikaciji u eventualnom sudskom postupku;

čuvati evidencije, uključujući evidencije u elektroničkom formatu, svih dokumenata koje je Podnositelj

zahtjeva potpisao tijekom postupka izdavanja kvalificiranih certifikata za elektronički potpis u razdoblju od najmanje 20 (dvadeset) godina od trenutka izdavanja zadnjeg certifikata; taj posao obavlja

Registracijski autoritet; ne eksportirati privatne ključeve Nositelja iz HSM-a ako su ključevi generirani i koriste se.

Certifikacijski autoritet i Registracijski autoritet kontinuirano će ažurirati ovaj #withSIGN operativni

priručnik, a Registracijski autoritet pravovremeno će obavještavati Nositelja o izmjenama

3.1.2 Obveze Podnositelja zahtjeva/Nositelja

Nositelj je dužan osigurati čuvanje svih informacija kojima se omogućuje korištenje privatnog ključa te

usvojiti sve tehničke i organizacijske mjere za sprječavanje nastanka štete trećim osobama; Nositelj je usto dužan osobno koristiti podatke kojima se omogućuje izrada elektroničkog potpisa (čl. 8. (5) [DPCM-a]).

Podnositelj zahtjeva/Nositelj dužan se pridržavati [DPCM-a]a, a posebno je dužan:

zatražiti kvalificirane certifikate za elektronički potpis u skladu s postupcima utvrđenima u ovom #withSIGN operativnom priručniku;

nastojati zaštititi privatne kôdove primljene od Registracijskog autoriteta kako bi se osigurala potrebna

tajnost; zatražiti opoziv kvalificiranih certifikata za elektronički potpis u skladu s postupcima utvrđenima u ovom

#withSIGN operativnom priručniku; bez odlaganja obavijestiti Registracijski autoritet o svim promjenama informacija dostavljenih

Certifikacijskom autoritetu tijekom postupka registracije (osobni podaci, adresa i sl.);

ne koristiti privatni ključ u bilo koje svrhe osim svrha predviđenih ograničenjima korištenja utvrđenim u kvalificiranim certifikatima za elektronički potpis, ugovoru o usluzi digitalnog bankarstva i ugovoru o

pružanju usluga certificiranja.



Stranica 11 od 23

3.2 Ograničenje odgovornosti i odšteta 3.2.1 Ograničenje odgovornosti

Društvo Intesa Sanpaolo nije odgovorno za smetnje nastale uslijed Nositeljevog nepridržavanja važećih zakona i propisa, kao i tehničkih/radnih specifikacija sadržanih u ugovoru o usluzi digitalnog bankarstva

sklopljenom između Nositelja i Strane banke ili pripadajućim dokumentima.

Društvo Intesa Sanpaolo nije odgovorno za štete nastale uslijed korištenja izvan ograničenja predviđenih

kvalificiranim certifikatima za elektronički potpis i/ili ugovorom o usluzi digitalnog bankarstva i/ili ugovorom o pružanju usluga certificiranja.

Ograničenja u korištenju predviđena kvalificiranim certifikatima za elektronički potpis su sljedeća:

„Korištenje je ograničeno na dokumente vezane uz odnos Nositelja certifikata s društvima iz Grupe Intesa Sanpaolo ili drugim osobama izvan Grupe koje nude usluge na elektroničkim sustavima društava iz Grupe“. Ograničenja iz ugovora o usluzi digitalnog bankarstva za svaku Stranu banku smatraju se sastavnim dijelom

ovog dokumenta.

3.2.2 Odšteta Sukladno točki 3.2.1. ovog dokumenta, društvo Intesa Sanpaolo nije odgovorno za štete nastale uslijed

neprimjerenog korištenja kvalificiranih certifikata za elektronički potpis.

No, sukladno čl. 15. (1) i) [DPCM-a], društvo Intesa Sanpaolo ugovorilo je posebno osiguranje za pokriće

rizika i šteta nastalih u vezi izdavanja kvalificiranih certifikata za elektronički potpis.

3.3 Vrijeme dostupnosti Sve su usluge koje nudi Certifikacijski autoritet (izdavanje i opozivanje kvalificiranih certifikata za elektronički

potpis i pristup imenicima) uvijek dostupne putem izravnih kanala (internetskih i mobilnih), dok će opoziv biti dostupan također putem korisničke službe kroz proceduru identifikacije i autentikacije Strane banke.



Stranica 12 od 23

4. OPERATIVNI ASPEKTI

4.1 Sadržaj kvalificiranih certifikata za elektronički potpis

Sadržaj kvalificiranih certifikata za elektronički potpis koje izdaje društvo Intesa Sanpaolo sukladan je odredbama čl. 28. uredbe [Dlgs 82/2005] i čl. 12. Odluke br. 45/2009 Nacionalnog centra za informacijsku

tehnologiju u državnoj upravi (važeći AgID).

Kvalificirani certifikati za elektronički potpis ne smiju se objavljivati u javno dostupnim registrima.

Svaki kvalificirani certifikat za elektronički potpis vrijedi 3 (tri) godine.

4.2 Pravila organizacije djelatnika

Djelatnici zaduženi za pružanje i kontrolu usluge certificiranja organizirani su u skladu s [DPCM-om], što

između ostaloga znači da su im nadležne funkcije predviđene sukladno čl. 38. [DPCM-a].

Djelatnici na nadležnim funkcijama mogu prilikom obavljanja dužnosti koristiti usluge zaposlenika i operatera Stranih banaka.

Vezano uz #withSIGN operativni priručnik, operateri obavljaju uslugu certificiranja u podružnicama Stranih

banaka, izvan centra za obradu podataka društva Intesa Sanpaolo; razmjena informacija između tih

operatera i društva Intesa Sanpaolo obavlja se putem sigurnih komunikacijskih kanala.

Poslove registracije obavljaju Strane banke temeljem posebnog ugovora sklopljenog između Strane banke i društva Intesa Sanpaolo.

Operateri Stranih banaka obavljaju poslove registracije u skladu s postupcima ugovorenim između Stranih banaka i društva Intesa Sanpaolo te su odgovorni društvu Intesa Sanpaolo za ispravnu identifikaciju

Podnositelja zahtjeva.

4.3 Postupak generiranja ključeva Svaki se tip ključa iz čl. 5. (4) [DPCM-a] generira, čuva i koristi unutar sigurnih uređaja sukladnih

sigurnosnim zahtjevima propisanima važećim zakonima i propisima.

Karakteristike ključeva opisane su u [DPCM].

4.3.1 Postupak generiranja certifikacijskih ključeva1 Generiranje certifikacijskih ključeva obavlja se u skladu s važećim zakonima i propisima i to:

certifikacijske ključeve generiraju zaposlenici izričito imenovani od strane Certifikacijskog autoriteta, uz

pomoć najmanje još jednog zaposlenika; poseban kvalificirani certifikat za elektronički potpis generira se za svaki par certifikacijskih ključeva,

sukladno Odluci br. 45/2009, a potpisuje se odgovarajućim privatnim ključem iz para koji se šalje AgID-u u skladu s postupcima prethodno suglasno utvrđenim između Certifikacijskog autoriteta i AgID-a.

1 Ključevi koje Certifikacijski autoritet koristi za izdavanje kvalificiranih certifikata za elektronički potpis na zahtjev Podno-

sitelja zahtjeva.



Stranica 13 od 23

4.3.2 Postupak generiranja ključeva za vremenski žig U pogledu usluge izdavanja vremenskog žiga u odnosu na usluge elektroničkog potpisa koje se pružaju

Stranim bankama, društvo Intesa Sanpaolo koristi certifikacijski autoritet koji ispunjava potrebne uvjete za

rad u državi gdje se Strana banka nalazi.

4.4 Postupak identifikacije i registracije Klijenata

Kao preduvjet za izdavanje kvalificiranih certifikata za elektronički potpis, Klijent i Strana banka moraju sklopiti ugovor o usluzi digitalnog bankarstva Strane banke.

Postupak identifikacije i registracije Klijenta provodi Strana banka u skladu s važećim zakonima i propisima,

uključujući između ostaloga propise o sprječavanju pranja novca, važeće prilikom zasnivanja ugovornog odnosa s istom.

Postupci identifikacije i registracije provode se u poslovnicama te od strane zaposlenika Registracijskog autoriteta.

4.4.1 Identifikacija i registracija Klijenata

Identifikaciju Klijenta obavlja Strana banka prilikom sklapanja ugovora o usluzi digitalnog bankarstva. Teme-ljem tog ugovora aktivira se usluga digitalnog bankarstva. Nakon aktivacije Klijent je u mogućnosti aktivirati

uslugu certificiranja sklapanjem ugovora o pružanju usluga certificiranja putem usluge digitalnog bankarstva.

4.4.2 Aktivacija usluge elektroničkog potpisa i potpisivanje ugovora Da bi potpisao ugovor o elektroničkom potpisu, Podnositelj zahtjeva mora proći sljedeće korake postupka:

pristupiti usluzi digitalnog bankarstva putem autentikacijskih postupaka definiranih od Strane banke;

po potrebi potvrditi primitak na znanje pravila za uslugu certificiranja; provjeriti točnost vlastitih osobnih podataka s ciljem aktiviranja kvalificiranog certifikata za elektronički

potpis i dati privolu za obradu osobnih podataka od strane Strane banke te za razmjenu njegovih/njezinih osobnih podataka s ISP-om i obradu njegovih/njezinih osobnih podataka od strane

ISP-a kao pružatelja usluge povjerenja;

postaviti posebnu Lozinku certifikata koja će se koristiti isključivo za potrebe usluge elektroničkog potpisa. U tom je smislu Podnositelj zahtjeva dužan ponovo upisati OTP (kako je definirano za posebne

OTP uređaje); pregledati ugovor o pružanju usluga certificiranja i elektronički ga potpisati.

Podnositelj zahtjeva ima mogućnost pregledati pripadajuću dokumentaciju u vezi usluga elektroničkog potpi-

sa prije sklapanja ugovora o pružanju usluga certificiranja.

4.4.3 Postupak generiranja para ključeva (javnog i privatnog ključa) od strane Nositelja

Prilikom aktivacije elektroničkog potpisa i potpisa ugovora o pružanju usluga certificiranja od strane Podnosi-

telja zahtjeva, automatski se pokreće postupak generiranja para ključeva (javnog i privatnog ključa) kojim se Klijentu omogućuje korištenje usluga elektroničkog potpisa.

Nositelj može koristiti privatni ključ za potpisivanje dokumenata vezanih uz usluge i proizvode koje nudi Strana banka, a javni se ključ koristi za provjeru autentičnosti samog potpisa.



Stranica 14 od 23

Nositelj može naknadno po vlastitom izboru promijeniti Lozinku certifikata koja se inicijalno koristi za zaštitu

elektroničkog potpisa. Za promjenu Lozinke certifikata Nositelj koristi posebnu funkciju u sklopu odabranog izravnog kanala (internetskog ili mobilnog) zaštićenog OTP-om (pogledati točku 4.6. u nastavku).

Nositelj je dužan u tajnosti čuvati podatke nastale iz kombiniranog korištenja Lozinke certifikata i OTP

uređaja sukladno čl. 8. (5) [DPCM-a].

Par ključeva (javni i privatni) izrađen putem prethodno navedenog postupka generira sigurni uređaj (Modul

za hardversku sigurnost, HSM) u vlasništvu Certifikacijskog autoriteta.

Sva priopćenja između Nositelja i Certifikacijskog autoriteta, uključujući potvrde primitka raznih zahtjeva i

aktivaciju usluge elektroničkog potpisa, šalju se putem aktivnog poštanskog sandučića u sklopu usluge internetskog bankarstva /mobilnog bankarstva Strane banke.

4.4.4 Izdavanje kvalificiranih certifikata za elektronički potpis

Kvalificirani certifikati za elektronički potpis izdaju se nakon generiranja para ključeva kako je prethodno na-značeno.

Postupak izdavanja kvalificiranih certifikata za elektronički potpis u cijelosti je transparentan Podnositelju

zahtjeva koji u ovoj fazi ne ostvaruje interakciju s Certifikacijskim autoritetom.

Sukladno važećim zakonskim propisima, Certifikacijski autoritet dužan je zahtjev za izdavanje kvalificiranog

certifikata za elektronički potpis čuvati najmanje 20 (dvadeset) godina od trenutka izdavanja svakog kvalifici-ranog certifikata za elektronički potpis. Elektronički se čuvaju i svi tragovi potrebni kako bi se tijekom vreme-

na dokazalo izvršenje ovog posla.

4.5 Postupak opoziva kvalificiranih certifikata za elektronički potpis Sukladno [DPCM-u], kvalificirani certifikat za elektronički potpis opoziva se na zahtjev jedne od sljedećih

osoba:

Nositelja; Certifikacijskog autoriteta;

Registracijskog autoriteta.

4.5.1 Zahtjev za opoziv dostavljen od strane Nositelja Nositelj može putem pozivnog centra podnijeti zahtjev za opoziv kvalificiranog certifikata za elektronički pot-

pis posebnom procedurom definiranom od Strane banke za identifikaciju i autorizaciju opoziva certifikata.

Sukladno postupku autentikacije za odabrani izravni kanal (internetski, mobilni), Nositelj može podnijeti zah-

tjev za opoziv kvalificiranog certifikata za elektronički potpis putem rubrike predviđene za elektronički potpis.

Da bi podnio zahtjev za opoziv, Nositelj mora osigurati OTP (kako je definirano za posebni OTP uređaj) koji ima u posjedu), a koji usto ima i funkciju kôda za slučaj nužde, sukladno čl. 21. [DCPM-a].

Nakon podnošenja zahtjeva za opoziv pokreće se automatski mehanizam za opoziv kvalificiranog certifikata za elektronički potpis na način transparentan prema Nositelju.

U slučaju jednostranog raskida ugovora o pružanju usluga certificiranja od strane Nositelja, Registracijski

autoritet dužan je bez odlaganja obavijestiti Certifikacijski autoritet koji pristupa opozivu predmetnog kvalificiranog certifikata za elektronički potpis.



Stranica 15 od 23

Nositelj nakon opoziva više ne može potpisati dokument pomoću ključeva koji su mu prethodno dodijeljeni, a

svi dokumenti potpisani od strane Nositelja prije opoziva kvalificiranog certifikata za elektronički potpis i dalje vrijede.

U pogledu valjanosti opoziva certifikata primjenjuju se sljedeća pravila: (i) ako je Klijent zatražio opoziv certifikata, takav opoziv je valjan od datuma kada je obavijest o opozivu zaprimila Strana banka; (ii) ako je

opoziv certifikata zatražila Strana banka, takav opoziv valjan je od datuma kada je Klijent zaprimio obavijest

o opozivu. U pogledu trećih strana opoziv certifikata valjan je od trenutka njegove objave.

4.5.2 Opoziv kvalificiranih certifikata za elektronički potpis od strane Certifikacijskog autoriteta ili Registracijskog autoriteta

Osim u opravdano hitnim slučajevima, Certifikacijski autoritet ili Registracijsko autoritet koji namjerava

opozvati kvalificirani certifikat za elektronički potpis dužan je unaprijed obavijestiti Nositelja, dajući pritom obrazloženje opoziva.

Registracijski autoritet dužan je bez odlaganja obavijestiti Certifikacijski autoritet o potrebi za opozivom kvalificiranog certifikata za elektronički potpis.

Certifikacijski autoritet dužan je opozvati certifikat kada:

1. to Nositelj izričito zatraži; 2. ustanovi da su podaci nositelja, onako kako su navedeni u Certifikata netočni ili nepotpuni;

3. zaprimi službenu ili valjano dokumentiranu obavijest o smrti Nositelj;

4. zaprimi službenu ili valjano dokumentiranu obavijest o gubitku pravne sposobnosti Nositelja; 5. ustanovi da Nositelj koristi podatke za kreiranje kvalificiranog elektroničkog potpisu koji su u

suprotnosti s odredbama nacionalnih zakona.

4.5.3 Okončanje postupka opoziva kvalificiranog certifikata za elektronički potpis Po okončanju postupka opoziva kvalificiranog certifikata za elektronički potpis izrađuje se novi CRL te

objavljuje u odgovarajućem direktoriju putem internetske veze.

CRL se objavljuje sukladno točki 4.9.2.

Nadalje, provedeni opoziv kvalificiranog certifikata za elektronički potpis evidentira se u kontrolnoj datoteci

zapisnika.

4.6 Gubitak ili krađa Lozinke certifikata U slučaju gubitka ili krađe Lozinke certifikata Nositelju su na raspolaganju tri različite opcije (čl. 21. (1)

[DPCM-a]): - Opoziv certifikata

- Procedura zaboravljene lozinke

- Procedura promjene lozinke U tom smislu Nositelju na raspolaganju stoji posebna funkcija unutar rubrike za elektronički potpis usluge

digitalnog bankarstva (internetske, mobilne) za definiranje nove Lozinke certifikata.

Procedura zaboravljene lozinke certifikata podrazumijeva opoziv postojećeg kvalificiranog certifikata za

elektronički potpis i izdavanje novog certifikata.

Postupak opoziva postojećeg kvalificiranog certifikata za elektronički potpis te postupak ponovnog izdavanja istoga transparentan je pa tako Nositelj mora:

zatražiti ponovno postavljanje Lozinke certifikata; unijeti OTP (kako je definirano za posebni OTP uređaj);



Stranica 16 od 23

provjeriti i potvrditi svoje osobne podatke te dati privolu za obradu osobnih podataka;

upisati i potvrditi novu Lozinku certifikata; unijeti OTP (kako je definirano za posebni OTP uređaj).

Sustav automatski potvrđuje da je Lozinka certifikata ponovno postavljena te da je izdan novi certifikat.

Istovremeno s ponovnim postavljanjem i definiranjem nove Lozinke certifikata opoziva se kvalificirani certifikat za elektronički potpis te se izdaje novi.

Nositelj nakon ponovnog postavljanja Lozinke i novog izdavanja certifikata više ne može potpisivati

dokumente pomoću prethodnog kvalificiranog certifikata za elektronički potpis s obzirom da je isti opozvan. Svi dokumenti koje je Nositelj potpisao prije opoziva kvalificiranog certifikata za elektronički potpis i dalje

vrijede.

4.7 Gubitak ili krađa OTP uređaja

U slučaju gubitka ili krađe OTP uređaja Klijent je dužan kontaktirati Stranu banku i proći postupak za slučaj gubitka ili krađe. Ovisno o tipu OTP uređaja u vlasništvu Nositelja, on/ona može aktivirati novi OTP uređaj u

poslovnici (u slučaju hardverskog OTP uređaja) ili putem kontaktnog centra ili u poslovnici (u slučaju softver-skog OTP uređaja).

4.8 Postupak zamjene ključeva

4.8.1 Zamjena Nositeljevih potpisnih ključeva Sukladno [DPCM-u], Certifikacijski autoritet određuje istek kvalificiranog certifikata za elektronički potpis i ra-

zdoblje valjanosti ključeva na temelju duljine ključeva i usluga za koje se ti ključevi koriste.

Razdoblje valjanosti ključeva podudara se s razdobljem valjanosti odgovarajućeg kvalificiranog certifikata za

elektronički potpis, a to je 3 (tri) godine.

Zahtjev za izdavanje novog kvalificiranog certifikata za elektronički potpis može se podnijeti isključivo ako je certifikat istekao ili ako ga je Nositelj opozvao.

Nositelj nikada ne smije istovremeno imati 2 (dva) aktivna kvalificirana certifikata za elektronički potpis.

Za izdavanje novog kvalificiranog certifikata za elektronički potpis moraju se u odnosu na identitet i osobne

podatke Podnositelja zahtjeva ispuniti isti uvjeti koji su verificirani u fazi izdavanja prethodnog certifikata.

Postupak predviđen za izdavanje novog kvalificiranog certifikata za elektronički potpis isti je kao postupak aktivacije kvalificiranih certifikata za elektronički potpis.

Nositelj u svakom slučaju mora bez odlaganja i u svakom trenutku prijaviti sve promjene informacija dostav-ljenih Stranoj banci na dan potpisivanja ugovora o pružanju usluga certificiranja.

4.8.2 Zamjena certifikacijskih ključeva

Zamjenu certifikacijskih ključeva obavlja Certifikacijski autoritet u skladu s važećim zakonima i propisima.

4.9 Upravljanje direktorijem kvalificiranih certifikata za elektronički potpis

4.9.1 Direktorij kvalificiranih certifikata za elektronički potpis



Stranica 17 od 23

Svi važeći kvalificirani certifikati za elektronički potpis izdani od strane Certifikacijskog autoriteta registrirani

su u direktoriju kvalificiranih certifikata za elektronički potpis. Direktorij nije javan.

Javni direktorij sadrži sljedeće informacije: certifikati za ključeve Certifikacijskog autoriteta;

certifikati vezani uz ugovore o certifikaciji;

certifikati za AgID-ove potpisne ključeve; lista opozvanih kvalificiranih certifikata za elektronički potpis.

Tom se direktoriju može pristupiti putem LDAP protokola (ldap://ldap2.ca.intesasanpaolo.com). Lista

opozvanih certifikata objavljuje se dodatno putem HTTP protokola (http://crl2.ca.intesasanpaolo.com/FirmaDigitale01/CRL02.crl).

Certifikacijski autoritet koristi pouzdane sustave za upravljanje direktorijem kvalificiranih certifikata za elektronički potpis i javnim direktorijem te koristi metode kojima osigurava sljedeće:

da isključivo ovlaštene osobe mogu unositi podatke i vršiti promjene; da se autentičnost informacija može provjeriti;

da su certifikati dostupni za javni uvid u dijelu gdje to Nositelj dozvoljava;

da je operater je svjestan svih događaja koji dovode u pitanje sigurnosne zahtjeve.

4.9.2 Objavljivanje kvalificiranih certifikata za elektronički potpis i CRL-a

Kvalificirani certifikati za elektronički potpis objavljuju se sukladno postupcima iz čl. 34. [DPCM-a].

CRL se sastavlja i objavljuje u javnom direktoriju svakih sat vremena, osim u slučaju tehničkih smetnji izvan

kontrole Certifikacijskog autoriteta.

Pristup javnom direktoriju omogućen je putem javne internetske mreže na adresi navedenoj u ekstenziji

distribucijske točke CRL-a u kvalificiranom certifikatu za elektronički potpis.

4.9.3 Reproduciranje direktorija kvalificiranih certifikata za elektronički potpis na različitim web-lokacijama

Sukladno [DPCM-u], Certifikacijski autoritet kopira direktorij certifikata na niz web-lokacija te osigurava usklađenost i integritet kopija.

Dodatne pojedinosti potražiti u točki 4.13.5. „Ugrožavanje glavne lokacije“.

4.10 Postupci zaštite osobnih podataka

Informacije o Nositelju primljene od strane Certifikacijskog autoriteta prilikom obavljanja usluga izdavanja

kvalificiranih certifikata za elektronički potpis smatraju se povjerljivima, osim u slučaju da je dana pisana suglasnost Nositelja te se ne smiju objavljivati, uz iznimku informacija izričito predviđenih za javno korištenje

(npr. javni ključ, datum opoziva kvalificiranog certifikata za elektronički potpis). Sukladno ovom #withSIGN operativnom priručniku, Certifikacijski autoritet ne obrađuje „osjetljive ili pravosudne podatke“ sukladno

definiciji iz uredbe [DLgs 196] pa se stoga zahtjevi iz čl. 17. uredbe [DLgs 196] ne primjenjuju.

Aktivnosti u dijelu identifikacije i zaštite podataka sukladne su nacionalnim zakonima Strane banke koja

obavlja aktivnosti registracijskog autoriteta.

Certifikacijski autoritet opisane osobne podatke obrađuje u skladu sa Zakonodavnom uredbom br. 196 od

30.06.2003.



Stranica 18 od 23

4.11 Postupak organiziranja datoteke kontrolnih zapisa Certifikacijski autoritet automatski ili ručno u datoteku kontrolnih zapisa upisuje događaje iz čl. 36. [DPCM-

a]. Upisuju se najmanje sljedeći događaji:

izdavanje kvalificiranih certifikata za elektronički potpis; opoziv kvalificiranih certifikata za elektronički potpis uz navođenje datuma i vremena objave CRL-a;

početak i završetak sesije sustava za generiranje kvalificiranih certifikata za elektronički potpis; personalizacija potpisnih uređaja;

ulazak u sigurnu sobu certifikacijskog sustava i izlazak iz iste.

Certifikacijski autoritet upravlja datotekom kontrolnih zapisa u skladu s čl. 41. (2) [DPCM-a].

4.12 Postupak upravljanja sigurnosnim kopijama podataka Certifikacijski autoritet izradio je plan kontinuiteta usluge koja se obavlja u skladu s ovim #withSIGN

operativnim priručnikom, a glavne radnje koje se obavljaju sukladno odgovarajućim postupcima opisane su u

nastavku.

4.12.1 Postupak stvaranja sigurnosnih kopija podataka Svakodnevno se za podatke, aplikacije, kontrolne datoteke zapisnika i ostale datoteke izrađuju sigurnosne

kopije potrebne kako bi se u cijelosti vratili kritični procesori sustava upravljanja kvalificiranim certifikatima za elektronički potpis. Vezano uz te procesore, izrada sigurnosnih kopija obavlja se daljinski, a tim

postupkom upravlja poseban centralizirani sustav koji ispunjava sljedeće zahtjeve: minimizira potrebu za ljudskom intervencijom i pristupom tehničkim prostorijama;

pojednostavljuje raspoređivanje poslova stvaranja sigurnosnih kopija i njihove revizije;

povećava pouzdanost poslova stvaranja sigurnosnih kopija.

4.12.2 Pohrana medija za zaštitu podataka Periodično spremanje podataka u vezi mrežnih sustava obavlja se svakodnevno putem automatskog sustava

pohrane.

Kopija medija koji sadrži spremljene podatke periodično se pohranjuje u sigurnosni ormar, a pristup tom ormaru ima isključivo operater Certifikacijskog autoriteta.

Kopije tih medija periodično se otpremaju na sigurnu lokaciju izvan prostora Certifikacijskog autoriteta kako bi bile raspoložive u slučaju katastrofa.

Kako bi se osigurala mogućnost ponovnog uspostavljanja cijelog sustava zbog kvara, spremaju se svi ostali

podaci i programi potrebni za pružanje usluge. Postupak spremanja i rok pohrane u odnosu na zaštitu

podataka isti su kao za spremanje podataka.

Magnetski mediji spremaju se u poseban sigurnosni ormar na alternativnoj lokaciji (čl. 4.13.5. „Ugrožavanje glavne lokacije“), a pristup tom drugom ormaru imaju isključivo Certifikacijski autoritet i certifikacijski

autoritet nadležan za uslugu izdavanje vremenskog žiga.

4.13 Postupak upravljanja nezgodama i katastrofalnim događajima U nastavku se daje opći opis tih postupaka.

4.13.1 Kvarovi računala



Stranica 19 od 23

Sva računala koja se koriste za pružanje usluge izdavanja kvalificiranih certifikata za elektronički potpis

pokrivena su ugovorom o održavanju temeljem kojega se u slučaju kvara jamči reaktivacija računala u roku od 24 (dvadeset četiri) sata.

4.13.2 Nedostaci softvera

U slučaju nedostataka (gubitka ili oštećenja) programa ili podataka koji se ne mogu na drugi način vratiti, isti će se vratiti iz pohranjenih datoteka za zaštitu podataka.

4.13.3 Kvar potpisnog uređaja Certifikacijskog autoriteta

U slučaju kvara potpisnog uređaja Certifikacijskog autoriteta, privatni ključ ponovo se uspostavlja na novom potpisnom uređaju počevši od segmenata prethodno generiranih ključeva, a po provedbi posebnog postupka

koji zahtijeva zajedničku intervenciju više operatera. Ključni segmenti sačuvani su u šifriranom formatu te na različitim mjestima pod nadzorom različitih voditelja.

Napomena: ključni segmenti ne predstavljaju „kopiju“ certifikacijskog ključa ([DPCM]) te se mogu koristiti isključivo za vraćanje cijelog ključa sukladno prethodno opisanom postupku.

U slučaju da vraćanje certifikacijskog ključa nije moguće, provodi se postupak predviđen za nedostatke

certifikacijskog ključa (pogledati sljedeći odlomak).

4.13.4 Nedostaci certifikacijskog ključa

U slučaju nedostataka u vezi tajnosti privatnog certifikacijskog ključa, Certifikacijski autoritet je dužan:

opozvati certifikat povezan s neispravnim privatnim ključem; taj opoziv prijaviti AgID-u u roku od 24 (dvadeset četiri) sata od opoziva;

obavijestiti Nositelje o svim kvalificiranim certifikatima za elektronički potpis potpisanima privatnim ključem koji pripada opozvanom paru;

opozvati sve kvalificirane certifikate za elektronički potpis potpisane neispravnim ključem;

izdati nove kvalificirane certifikate za elektronički potpis pomoću novog privatnog ključa.

4.13.5 Kompromitiranost glavne lokacije

U slučaju nedostupnosti prostora, zgrade ili sustava u cjelini uslijed bilo kakve katastrofe (požar, poplava,

urušavanje i sl.), aktivira se plan oporavka od katastrofe, a taj se plan primjenjuje na sve radne resurse društva Intesa Sanpaolo te na resurse treće strane koja nudi uslugu izdavanja vremenskog žiga.



Stranica 20 od 23

5. PRESTANAK PRUŽANJA USLUGE IZDAVANJA KVALIFICIRANIH CERTIFIKATA ZA ELEKTRONIČKI POTPIS

5.1 Pojedinosti o prestanku pružanja usluge izdavanja kvalificiranih certi-fikata za elektronički potpis

U slučaju prestanka pružanja usluge izdavanja kvalificiranih certifikata za elektronički potpis AGID-u se mora

60 (šezdeset) dana unaprijed dostaviti posebno priopćenje u kojem su naznačeni novi Certifikacijski autoritet

ukoliko je određen zamjenski Certifikacijski autoritet te voditelj registra certifikata i pripadajuće dokumenta-cije.

Istovremeno s priopćenjem prema AgID-u, svi Nositelji moraju biti obaviješteni o prestanku obavljanja pre-

dmetnih poslova.

Ukoliko se ne odredi zamjenski Certifikacijski autoritet, u priopćenju se mora jasno navesti da će svi kvalifici-

rani certifikati za elektronički potpis koji još nisu istekli u trenutku prestanka pružanja usluge biti opozvani. Ti će kvalificirani certifikati za elektronički potpis prilikom opoziva biti uvršteni na listu opozvanih certifikata.

Dodatne pojedinosti u vezi prestanka pružanja usluge potražiti u Planu prestanka pripremljenog od strane

društva Intesa Sanpaolo.



Stranica 21 od 23

6. UPRAVLJANJE VREMENSKIM OZNAKAMA

6.1 Usluga izdavanje vremenskih žigova

Ova se točka odnosi na čl. 40. (3), točka p [DPCM-a].

Certifikacijski autoritet osigurava pružanje usluge izdavanja vremenskih žigova u skladu s [DPCM-om], koriš-

tenjem usluga društva Infocert S.p.A., certifikacijskog autoriteta koji ispunjava uvjete za poslovanje u drža-vama gdje se Strane banke nalaze. Opis postupaka vezanih uz davanje zahtjeva za izdavanje vremenskog

žiga i stjecanje istoga u skladu s važećim zakonima i propisima potražiti u operativnom priručniku pružatelja te usluge.

6.2 Točnost vremenske oznake

Sustav upravljanja vremenskim oznakama dohvaća podatak o vremenu iz radijskog prijemnika sinkroniziranog sa signalom koji emitira NEI.

TSA-ov server prilikom generiranja vremenskog žiga dohvaća datum/vrijeme iz sistemskog sata usklađenog s točnim vremenom UTC (Koordinirano univerzalno vrijeme) putem sinkronizacijskog signala primljenog od

vanjskog prijemnika koji prepoznaje kvalitetu signala koji emitira mreža GPS satelita. Vremenski signal dobiven na taj način sukladan je odstupanjima točnosti predviđenima važećim zakonima i propisima.



Stranica 22 od 23

7. PROCES VERIFIKACIJE ELEKTRONIČKOG POTPISA

Ova se točka odnosi na čl. 40. (3), točka r [DPCM-a].

7.1 Aplikacija za verifikaciju

Unutar područja “My Documents” direktnih kanala kod Stranih banaka Nositelj ima mogućnost uvida u svoje

elektronički potpisane dokumente. Ti se dokumenti spremaju u PDF formatu, a ovisno o direktnom kanalu kojeg je Nositelj odabrao, (internetski, mobilni), Nositelju na raspolaganju stoji aplikacija koja mu omogućuje

verifikaciju stavljenog elektroničkog potpisa.

Sukladno čl. 42. (2) [DPCM-a], verifikacijski sustavi raspoloživi Nositelju interoperabilni su s dokumentima

koji se potpisuju elektroničkim potpisom izdanim od strane Certifikacijskog autoriteta.

7.2 Format dokumenata

Dokumenti koji se dostavljaju Nositelju putem izravnih kanala Stranih banaka sukladni su važećim zakonima i

propisima; posebno se ističe da dokumenti u elektroničkom obliku ne mogu sadržavati „makro naredbe, izvršne kôdove ili druge elemente koji mogu aktivirati funkcije putem kojih se mogu mijenjati sadržane radnje, činjenice ili podaci“.

7.3 Upoznatost s upozorenjima u vezi CRL-a Nositelj prilikom pregledavanja mora uzeti u obzir tehnička vremena potrebna za ažuriranje informacija

sadržanih u CRL-u.

Ta su tehnička vremena posebno potrebna u slučaju da Nositelj, Registracijski autoritet ili Certifikacijski

autoritet namjeravaju opozvati ili reaktivirati kvalificirani certifikat za elektronički potpis, kao i u slučaju kad Certifikacijski autoritet provodi tehničke/administrativne postupke u vezi zahtjeva za opoziv i pripadajućeg

ažuriranja CRL-a.

Prilikom potpisivanja dokumenta pomoću kvalificiranog certifikata za elektronički potpis CRL lista će biti provjerena kako bi se osiguralo da odgovarajući kvalificirani certifikat za elektronički potpis nije opozvan.



Stranica 23 od 23

8. RADNI POSTUPAK ZA GENERIRANJE ELEKTRONIČKIH POTPISA

Ova se točka odnosi na čl. 40. (3), točka s [DPCM-a].

Karakteristike usluge ne obuhvaćaju isporuku potpisne aplikacije koja se instalira na uređaj Podnositelja zahtjeva (osobno računalo, pametni telefon i sl.); sve funkcije koje Nositelju omogućavaju potpisivanje

jednog ili više elektroničkih dokumenata izravno su obuhvaćene odgovarajućom odredbom ugovora o usluzi digitalnog bankarstva i/ili ugovora o pružanju usluga certificiranja kod Strane banke.

Elektronički potpisi kreirani pomoću ove aplikacije ispunjavaju zahtjeve predviđene za potpisne algoritme iz čl. 4. (2) [DPCM-a].