Manuale Operativo Servizio CedacriCert · CPS Certification Practice Statement - Manuale Operativo CRL Certificate Revocation List - Lista dei Certificati revocati CSL Certificate

Manuale Operativo Servizio CedacriCert

Codice documento: IA00G004 - 13

Stato del documento: Pubblicato

Data emissione: 11/01/2016

Ente emittente: SICU

Cedacri S.p.A. – Sede legale: Via del Conventino n. 1 – 43044 Collecchio (Parma) C.F./Partita IVA e Iscrizione al Registro delle Imprese di Parma: 00432960342 – R.E.A.: 128475 – Capitale Sociale: 12.609.000€ i.v.

IA00G004 - 13

11/01/2016 - Manuale Operativo Servizio CedacriCert

Pag. 2 di 35

Q001-008 Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge

Responsabile documento Michele Rivieri

Redazione: Michele Rivieri

Emissione*: SICU 11/01/2016

Data*

Approvazione: SERV 11/01/2016

Data

Codice Documento*: IA00G004 - 13

Stato Documento*: Pubblicato

Distribuzione: Pubblica

Data Emissione Prima Versione: 27/07/2001

Data di Stampa: 25/01/2016

LEGENDA

Il redattore non deve compilare i campi contrassegnati con asterisco “ * ” in quanto le informazioni relative vengono aggiornate automaticamente in sede di stampa sulla base di quanto indicato nel frontespizio del documento. Per aggiornare a video tali campi, fare clic col pulsante destro del mouse e dal menù contestuale selezionare aggiorna campo. Per aggiornare a video ogni pagina con la corretta intestazione, fare doppio clic sull’intestazione stessa, selezionare col pulsante destro del mouse i campi del codice, data emissione e titolo, quindi scegliere dal menù contestuale aggiorna campo. Gli altri campi, anche se non pertinenti, vanno compilati almeno con un carattere <spazio>.

Distribuzione

La distribuzione è un campo da compilare manualmente e può assumere i valori:

• Pubblica, se il documento può circolare senza restrizioni, sia internamente che esternamente; • Riservata, se il documento è distribuibile solo agli Utenti Cedacri o all'interno di un Gruppo di Progetto (specificare il Gruppo

di progetto); • Confidenziale, se il documento è distribuibile internamente a livello personale (specificare le persone) • Utente, se il documento è destinato all'Organizzazione del Cliente • <altro>, da specificare.

IA00G004 - 13


Pag. 3 di 35


Storia delle modifiche apportate

Modifiche Apportate dalla Versione <001> alla Versione <002>

Modificato paragrafo 4.4.1.


Modificato paragrafo 2.4.

Modificato paragrafo 4.4.1.


Modificato paragrafo 2.6




Modificata durata validità certificato Titolare da 12 mesi a 730 giorni


Modificato denominazione Societaria e inserito come configurazione di Tool-kit il supporto USB-token


Modificata e/o integrata denominazione del termine “certificato” in “certificato qualificato” come da normativa vigente.

Modificata e/o integrata denominazione del termine “Certificatore” in “Certificatore accreditato” come da normativa vigente.

Sostituzione del termine AIPA con il nuovo termine CNIPA.


Eliminati riferimenti normative obsolete


Aggiornati riferimenti normativi

Aggiornate modalità operative rilascio certificati qualificati

IA00G004 - 13


Pag. 4 di 35



Aggiornate modalità di richiesta revoca da parte del Titolare

Aggiornati i responsabili del documento





Modificato capitolo 7


Modificato paragrafo 4.3.1

Modifica di durata del certificato che è stata portata a 36 Mesi

Aggiornati i responsabili del servizio

Aggiornati i riferimenti normativi

Modifica paragrafi Allegato 1



IA00G004 - 13


Pag. 5 di 35


SOMMARIO

1. INTRODUZIONE 7

1.1. Scopo 7

1.2. PRINCIPALI RIFERIMENTI NORMATIVI 7

1.3. GLOSSARIO 8 1.3.1 Acronimi ed abbreviazioni 8 1.3.2 Definizioni 10

2. PARTE I: INFORMAZIONI DI CARATTERE GENERALE 14

2.1. Dati identificativi del Certificatore Accreditato 14

2.2. Responsabile del manuale Operativo 15

2.3. Applicabilità Certificati Qualificati 15

2.4. Prerequisiti alla richiesta di Certificato Qualificato 15

2.5. Prerequisiti all’utilizzo dei Certificati qualificati 15

2.6. Servizio di Call Center 16

2.7. Servizio di Help Desk 16

2.8. Tabella Disponibilita’ Livelli di Servizio 16

2.9. Tariffe 16

2.10. Polizza assicurativa 17

2.11. Indirizzo del Certificatore Accreditato 17

3. PARTE II: SERVIZIO DI CERTIFICAZIONE 18

3.1. Obblighi e responsabilità dei soggetti coinvolti 18 3.1.1 Certificatore Accreditato 18 3.1.2 Ente di registrazione 18 3.1.3 Titolare 19 3.1.4 Utente utilizzatore 19

4. PARTE III: MODALITÀ OPERATIVE 21

4.1. Identificazione del Richiedente 21 4.1.1 Informazioni Indispensabili per il rilascio del certificato 21 4.1.2 Utilizzo di pseudonimo 21 4.1.3 Limiti d’uso e di valore 21 4.1.4 Inserimento del Ruolo e dell’Organizzazione 22

4.2. Registrazione del Richiedente 22

4.3. Rilascio del Certificato 22 4.3.1 Chiavi generate su smart card o token 23 4.3.2 Chiavi generate su HSM destinate all’utilizzo per la sottoscrizione automatica 23

4.4. Revoca Certificato 23 4.4.1 Revoca Certificato su richiesta del Titolare 23

IA00G004 - 13


Pag. 6 di 35


4.4.2 Revoca Certificato su iniziativa del Certificatore Accreditato 24 4.4.3 Revoca su iniziativa del Terzo interessato 25 4.4.4 Lista dei Certificati revocati – CRL 25

4.5. Sospensione 25 4.5.1 Lista dei Certificati sospesi CSL 25

4.6. Rinnovo e sostituzione del certificato e delle chiavi di certificazione 26 4.6.1 Rinnovo del certificato del Titolare 26 4.6.2 Sostituzione delle chiavi di certificazione del Certificatore Accreditato 26

4.7. Modalità operative per la verifica e l’apposizione della firma digitale 26

5. MARCA TEMPORALE 28

5.1. Marcatura temporale dei Certificati e delle CRL/CSL 28

5.2. Servizio di marcatura Temporale 28

6. REGISTRO DEI CERTIFICATI 29

6.1. Gestione del registro dei Certificati 29

6.2. Modalità di accesso al registro dei Certificati 29

7. GIORNALE DI CONTROLLO 30

8. GESTIONE 31

8.1 Riservatezza 31

8.2. Sicurezza 31

8.3. Emergenze 31

9. ALLEGATO 1 33

9.1. Tool-kit 33 9.1.1 Emissione certificato su dispositivo proprietario 33

10. ALLEGATO 2 34

10.1. QUADRO DI RACCORDO DEL MANUALE OPERATIVO CON L’ART. 36, COMMA 3°, DPCM 22/02/2013 34

IA00G004 - 13


Pag. 7 di 35


1. INTRODUZIONE

1.1. SCOPO

Il presente documento è il Manuale Operativo di Cedacri S.p.A.- Servizio Cedacricert relativo all’emissione e gestione dei certificati per chiavi di sottoscrizione, nonché le procedure per la fornitura del servizio di validazione temporale se richiesto dagli utenti, in conformità con la vigente normativa in materia di firma digitale.

Il Manuale Operativo, o Certification Practice Statement (CPS) secondo la letteratura tecnica internazionale, costituisce l’insieme delle regole e delle procedure con i relativi metodi di applicazione, cui Cedacri S.p.A. – Servizio Cedacricert, si attiene nell’esercizio della funzione di Certificatore e quindi nell’attività di Certificazione di chiavi pubbliche.

In generale la firma digitale permette ad un titolare di manifestare l’autenticità e l’integrità di un documento informatico attraverso l’impiego di una coppia di chiavi asimmetriche (una pubblica ed una privata) in modo che chiunque venga in possesso di tale documento possa sempre verificarne la piena validità.

Si ricorda infine che Cedacri S.p.A. è iscritta nell’elenco tenuto da ACBI dei Certificatori che intendono stipulare con le Banche il servizio di Certificazione.

Il contenuto del presente manuale, è proprietà intellettuale di Cedacri S.p.A.

1.2. PRINCIPALI RIFERIMENTI NORMATIVI

[1] D.P.R. 28/12/2000 n.445 (G.U. n.42 del 20/2/2001 - “Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa – c.d. “Testo Unico”) e sue modificazioni secondo DPR 137/2003

[2] D.P.C.M. del 22 Febbraio 2013 (G.U. n.117 del 21-5-2013)

Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b) , 35, comma 2, 36,comma 2, e 71.

[3] Circolare CNIPA n.48 del 06/09/2005, recante le modalità per presentare domanda di iscrizione nel registro pubblico dei Certificatori

[4] Deliberazione 21 Maggio 2009, delibera CNIPA n.45/2009, Regole per il riconoscimento e la verifica del documento informatico

[5] D.P.C.M. 30 marzo 2009, Fissazione del termine che autorizza l’autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza (G.U.

IA00G004 - 13


Pag. 8 di 35


n.98 del 28 Aprile 2010)

[6] Circolare CNIPA 15 febbraio 2007, n. 52

Svolgimento delle “funzioni di vigilanza e controllo sull’attività dei certificatori qualificati e accreditati” di cui all’articolo 31 del decreto legislativo 7 marzo 2005, n. 82, “Codice della amministrazione digitale”.(G.U. 23 febbraio 2007, n. 45)

[7] Dlgs . 235/10, del 30 Dicembre 2010 – Codice dell’Amministrazione Digitale

[8] CIRCOLARE 19 giugno 2000 n. AIPA/CR/2

Riferimenti tecnici

[9] Deliverable ETSI TS 102 023 “Policy requirements for time-stamping authorities” - Aprile 2002

[10] RFC 5280 (2008): "Internet X.509 Public Key Infrastructure Certificate and CRL Profile

[11] RFC 3161 (2001): “ Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP)”

[12] RFC 2527 (1999): “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework”

[13] ETSI TS 101 862 V1.3.2 (Marzo 2004) (“Qualified Certificate profile”)

1.3. GLOSSARIO

1.3.1 Acronimi ed abbreviazioni

Di seguito sono elencate le abbreviazioni e gli acronimi utilizzati per la stesura del presente documento. Dove opportuno, sarà utilizzato anche il corrispondente termine inglese, generalmente più usato e conosciuto nel linguaggio comune.

IA00G004 - 13


Pag. 9 di 35


ACBI Associazione per il Corporate Banking Interbancario

AgID Agenzia per l’Italia Digitale

CA Certification authority - Autorità di Certificazione - Certificatore

CDP CRL distribution point - Punto di distribuzione delle CRL

CNIPA Centro Nazionale per l’Informatica nella Pubblica Amministrazione (ex AIPA)

CPS Certification Practice Statement - Manuale Operativo

CRL Certificate Revocation List - Lista dei Certificati revocati

CSL Certificate Suspension List - Lista dei Certificati sospesi

DB Data Base - Raccolta di dati

D.I.T. Dipartimento Innovazioni Tecnologiche

DN Distinguished Name - Stringa formattata estesa dei dati anagrafici del Titolare

DPCM Decreto del Presidente del Consiglio dei Ministri

DPR Decreto del Presidente della Repubblica

DS Directory Server - Registro Certificati

ETSI European Telecommunications Standards Institute

HSM Hardware Security Module

HTTP HyperText Transfer Protocol - Protocollo di trasmissione per reti Internet

HTTPS Secure HyperText Transfer Protocol - Protocollo sicuro di trasmissione per reti Internet

IETF Internet Engineering Task Force - Comitato tecnico ingegneria Internet

ISO International Organization for Standardization - Organizzazione internazionale per gli standard

ITU International Telecommunication Union - Unione internazionale delle telecomunicazioni

LDAP Lightweight Directory Access Protocol – Protocollo di accesso ai dati del DS

IA00G004 - 13


Pag. 10 di 35


OID Object Identifier - Identificativo oggetto

OTP One Time Password

PDF Portable Document Format – Formato per file di testo

PKCS Public Key Cryptography Standard – Standard crittografico a chiave pubblica

PKCS#10 Standard di descrizione della sintassi per la richiesta di un Certificato

PKI Public Key Infrastructure – Infrastruttura hardware/software per Certificazione

P.I.N. Personal Identification Number - Numero identificativo personale

P.U.K. Personal Unbloking Key – Codice di sblocco personale

RA Registration authority - Autorità di registrazione – Ente di registrazione

RFC Request for Comments (Formal document from the IETF) - Documento formale di specifiche emesso dall’IETF

SN Serial Number – Numero seriale

SSL Secure Sockets Layer – Protocollo di protezione trasmissioni

UID Unique identification number - Identificativo univoco

1.3.2 Definizioni

Browser: programma residente su PC che utilizza il protocollo HTTP per fare richieste ai server Web sparsi nella rete Internet.

Certificato digitale, Certificato, Certificato x509: attestato di corrispondenza tra una Chiave pubblica e il soggetto Titolare cui essa appartiene, in associazione ad una Chiave privata appartenente solo al Titolare medesimo.

Certificato qualificato: il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva; vedi [15]

Certificatore o Certification Authority: il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime.

IA00G004 - 13


Pag. 11 di 35


Certificatore Accreditato: Certificatore iscritto all’albo dell’Agenzia per l’Italia Digitale.

Certificazione: è il risultato della procedura informatica, applicata alla Chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra la Chiave pubblica ed il soggetto Titolare cui essa appartiene, si identifica quest’ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo Certificato, in ogni caso non superiore ai tre anni.

Chiave privata: elemento della coppia di chiavi asimmetriche, di esclusivo possesso del soggetto Titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente Chiave pubblica.

Chiave pubblica: elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal Titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al Titolare delle predette chiavi.

Chiavi asimmetriche: coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici.

Dispositivo di firma: supporto elettronico programmabile solo all'origine, utilizzato dal Titolare, sul quale viene generata la coppia di chiavi asimmetriche, quella pubblica e quella privata, munito di un P.I.N..

Documento informatico: è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

Download: è la trasmissione di un file da un computer ad un altro.

Ente di registrazione o Registration Authority: entità che si occupa delle procedure di identificazione/registrazione dell'utente e trasmette i dati di competenza al Certificatore tramite un canale sicuro. L’Ente di registrazione è tenuta ad identificare con certezza gli utenti che desiderino essere Certificati. Il ruolo di Ente di registrazione è svolto da soggetti esplicitamente autorizzati dal Certificatore.

Firma digitale: il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la Chiave privata e al destinatario tramite la Chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici.

Firma Remota: Un servizio di firma digitale nel quale le chiavi private dei titolari sono conservate dal Certificatore su particolari dispositivi sicuri (Hardware Security Module) garantendo comunque al titolare che solo lui possa attivarne l’uso attraverso l’utilizzo di codici riservati solo da lui conosciuti e posseduti.

IA00G004 - 13


Pag. 12 di 35


Giornale di Controllo: insieme delle registrazioni effettuate automaticamente o manualmente dai dispositivi istallati presso il Certificatore.

Hardware Security Module : dispositivi hardware sicuri dedicati alla gestione delle chiavi crittografiche e particolarmente utilizzati nei servizi di firma remota.

Logon: procedura di accesso ad un sistema operativo o ad un’applicazione.

Manuale Operativo: documento che definisce le procedure applicate dal Certificatore nello svolgimento della propria attività.

Marca Temporale: evidenza informatica che consente la validazione temporale.

One Time Password : dispositivo (già utilizzato dai correntisti per operare sui servizi di internet Banking) che garantisce un’autenticazione forte del titolare al sistema di firma remota,

Passphrase: stringa di caratteri, generalmente più lunga della normale Password.

Password: stringa di caratteri senza spazi, utilizzata nelle procedure di accesso ai PC in associazione con lo Userid.

Public Key Cryptography standards: set di standard per la crittografia a Chiave pubblica sviluppati dai laboratori RSA e compatibili con lo standard ITU-T X.509.

Richiedente: soggetto che richiede il rilascio del Certificato.

Shared Secret: segreto condiviso – Informazione conosciuta solo dal Richiedente e dal Certificatore per validazione dell’identità del Richiedente

Smart-card: tessera, di formato simile al Bancomat, dotata di microchip (apparato elettronico incorporato), programmabile solo all’origine, in grado di contenere informazioni in modo sicuro.

Terzo interessato: soggetto il cui consenso è necessario ai fini della specificazione della sussistenza dei poteri di rappresentanza o di altri titoli relativi all’attività professionale o a cariche rivestite del richiedente il rilascio di Certificato digitale.

Titolare: soggetto al quale, previa identificazione da parte dell’Ente di registrazione, sono rilasciati i Certificati digitali dal Certificatore.Il Titolare del certificato digitale è sempre una persona fisica.

Token: chiavetta dotata di microchip con software con caratteristiche del tutto simili alla Smart-card.

IA00G004 - 13


Pag. 13 di 35


Tool-kit: set di strumenti hardware e software per l’utilizzo dei Certificati digitali.

Userid: codice identificativo utente.

Utenti utilizzatori: coloro che accedono agli archivi mantenuti dal Certificatore per richiedere e verificare Certificati digitali. Possono essere sia Titolari Certificati da questo o altro Certificatore, sia utenti non Certificati.

Validazione temporale: il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi.

World Wide Web: spesso abbreviato in WWW o Web, tecnicamente viene definito come l’insieme delle risorse e degli utenti che utilizzano il protocollo http per lo scambio di informazioni sulla rete Internet.

IA00G004 - 13


Pag. 14 di 35


2. PARTE I: INFORMAZIONI DI CARATTERE

GENERALE

Il presente documento è la versione n.12 rilasciata il 05/11/2013 del Manuale Operativo relativo all’emissione e gestione dei certificati per chiavi di sottoscrizione da parte di Cedacri S.p.A. – Servizio Cedacricert. Questo documento verrà verificato ed eventulamente aggiornato, se necessario, con frequenza annuale.

Il presente documento è reperibile :

presso il sito del Servizio Cedacricert di Cedacri S.p.A. all’indirizzo: http://www.cedacricert.it/

alla pagina dedicata ai servizi di firma digitale del sito internet di Agenzia per l’Italia Digitale

E’ conforme ai requisiti contenuti al riferimento [2]

2.1. DATI IDENTIFICATIVI DEL CERTIFICATORE ACCREDITATO

Ragione Sociale Cedacri S.p.A.

Sede legale Via del Conventino, 1

43044 Collecchio (Parma)

Legale Rappresentante

nato a

funzione

Renato Dalla Riva

Cogollo del Cengio (Vicenza), 12 Luglio 1948

Presidente

N. Iscrizione alla CCIA di Parma

00432960342

Partita IVA 00432960342

Codice ABI 89002

UNINFO Object Identifier (OID) 1.3.76.27

ISO-OID P.E.N. 8414

N° telefonico 0521 8071 (centralino)

N° di Fax 0521 807901

Indirizzo Internet www.cedacricert.it

Indirizzo di posta elettronica [email protected]

http://www.cedacricert.it/


mailto:[email protected]

IA00G004 - 13


Pag. 15 di 35


2.2. RESPONSABILE DEL MANUALE OPERATIVO

Il responsabile del presente manuale è

Nome Michele

Cognome Rivieri

Telefono 0521- 807753

Fax 0521- 807917

E-mail [email protected]

2.3. APPLICABILITÀ CERTIFICATI QUALIFICATI

Il Certificato qualificato può essere utilizzato per apporre o associare la firma ad un documento in formato elettronico.

Attraverso le informazioni contenute nel certificato l’utilizzatore può risalire con certezza al certificatore che lo ha emesso e conoscere al contempo il suo periodo di validità.

I certificati emessi dal Certificatore Cedacri sono conformi a quanto indicato nella deliberazione CNIPA n.45 rif.[4] e sono pertanto interoperabili con i servizi di firma digitale forniti da tutti i certificatori accreditati.

2.4. PREREQUISITI ALLA RICHIESTA DI CERTIFICATO QUALIFICATO

Coloro che desiderano fare richiesta di Certificato qualificato devono recarsi presso la sede Cedacri di Collecchio, o presso uno degli Enti di registrazione, muniti di un documento d’identità in corso di validità. Si ricorda che sono considerati documenti d’identità validi il passaporto, la carta d’identità e gli altri documenti equipollenti per legge.

Inoltre, dovranno essere in possesso di una casella di posta elettronica personale.

2.5. PREREQUISITI ALL’UTILIZZO DEI CERTIFICATI QUALIFICATI

Il soggetto che desidera ottenere il proprio Certificato qualificato dovrà presentarsi presso la sede Cedacri di Collecchio o presso uno degli Enti di registrazione, per effettuare il processo di registrazione degli utenti descritto nel successivo paragrafo “Modalità Operative”. Se il soggetto non è già in possesso di un Dispositivo di firma, compatibile con il sistema del Certificatore Accreditato, potrà richiederlo a Cedacri all’atto della firma del contratto.

L’elenco dei dispositivi di firma rispondenti ai requisiti stabiliti nella normativa vigente, è disponibile sul sito del Certificatore Accreditato all’indirizzo http://www.cedacricert.it/ e viene costantemente mantenuto aggiornato.



IA00G004 - 13


Pag. 16 di 35


2.6. SERVIZIO DI CALL CENTER

E’ attivo un servizio di Call Center indirizzato all’utenza del servizio per qualsiasi tipo di informazione riguardo le procedure descritte nel presente manuale, per la revoca e la sospensione dei Certificati.

Il servizio è attivo tutti i giorni, festivi compresi, con orario continuativo nelle 24 ore, al numero 840

033033.

2.7. SERVIZIO DI HELP DESK

E’ attivo un servizio di Help Desk indirizzato al Call Center e agli Enti di Registrazione.

Il servizio è disponibile dal lunedì al sabato, dalle ore 8:00 alle ore 23:00, per qualsiasi tipo di informazione riguardanti la disponibilità del servizio e delle infrastrutture tecnologiche.

2.8. TABELLA DISPONIBILITA’ LIVELLI DI SERVIZIO

Il Servizio viene erogato come dalla seguente tabella:

Tipo del Servizio Giorni di

disponibilità Orario di disponibilità

Disponibilità delle liste:

Chiavi Pubbliche

Chiavi Revocate (CRL)

Chiavi Sospese (CSL)

7 giorni su 7 24 ore su 24

Rilascio del Certificato qualificato Giorni feriali 09:00 - 13:00 e 15:00 - 19:00

Sospensione del Certificato qualificato

7 giorni su 7 24 ore su 24

Revoca del Certificato qualificato 7 giorni su 7 24 ore su 24

2.9. TARIFFE

Le tariffe per l’emissione, il rinnovo, la revoca e la sospensione dei certificati saranno definite su base progettuale.

Tali tariffe sono comunque in funzione delle quantità trattate e soggette all’andamento del mercato e pertanto non vengono pubblicate sul sito del Certificatore.

Per informazioni, scrivere all’indirizzo di posta elettronica: [email protected]

IA00G004 - 13


Pag. 17 di 35


2.10. POLIZZA ASSICURATIVA

Il massimale di indennizzo per eventuali danni causati dall’inadempienza o negligenza del Certificatore Accreditato è fissato in:

• € 260.000 per singolo sinistro;

• € 1.550.000 per annualità assicurativa.

2.11. INDIRIZZO DEL CERTIFICATORE ACCREDITATO

Il Certificatore Accreditato è contattabile ai seguenti indirizzi:

Cedacri S.p.A.

Servizio Cedacricert Certificazione Digitale

Via del Conventino, 1

43044 Collecchio (PR)

E-mail: [email protected]

Sito Web: http://www.cedacricert.it

Centralino: 0521 8071

Fax: 0521 807901



IA00G004 - 13


Pag. 18 di 35


3. PARTE II: SERVIZIO DI CERTIFICAZIONE

3.1. OBBLIGHI E RESPONSABILITÀ DEI SOGGETTI COINVOLTI

3.1.1 Certificatore Accreditato

Il Certificatore Accreditato o Certification Authority è tenuto ad adottare tutte le misure tecniche e organizzative idonee per un tale servizio.

In particolare il Certificatore che rilascia certificati qualificati è tenuto a:

accertarsi dell’ identità della persona che fa richiesta di Certificato;

rilasciare il relativo Certificato qualificato nelle modalità previste dal DPCM rif.[2];

informare i titolari sulle caratteristiche del servizio;

adottare le necessarie misure di sicurezza per il trattamento dei dati personali;

garantire che il dispositivo sicuro per la generazione della firma abbia le caratteristiche indicate all’art. 35 del Dgls 82/2005 e all’art.11 del DPCM rif.[2];

garantire che il titolare mantenga sempre in modo esclusivo il controllo delle proprie chiavi di firma;

garantire che le chiavi private di firma generate all’interno degli HSM non possano essere esportate;

mantenere aggiornata la lista dei Certificati revocati;

mantenere aggiornata la lista dei Certificati sospesi;

gestire tutte le procedure necessarie ai fini delle attività di cui sopra, secondo adeguate norme di sicurezza;

mantenere le registrazioni di tutte le informazioni relative alla gestione del certificato qualificato per meno venti anni.

Il Certificatore Accreditato è direttamente responsabile nei confronti dei Titolari per il proprio operato, salvo ogni diritto di rivalsa.

3.1.2 Ente di registrazione

Il Certificatore puo’ dare mandato a svolgere le funzioni di Ente di registrazione o Registration Authority a Banche, Istituti di Credito o altre Entità che avranno sottoscritto con il Certificatore uno specifico contratto di mandato.

Il ruolo di Ente di registrazione o Registration Authority è svolto da personale esplicitamente autorizzato e formato dal Certificatore Accreditato.

L’operatore:

• identifica con certezza l'utente che richiede la Certificazione di una Chiave pubblica;

• invia al Certificatore Accreditato la domanda di Certificazione dell'utente;

• archivia copia del contratto firmato dall'utente con copia del documento d’identità allegata;

• fornisce all’utente il necessario per perfezionare la procedura di richiesta Certificato.

IA00G004 - 13


Pag. 19 di 35


L’elenco degli Enti di registrazione verranno pubblicati sul sito web www.cedacricert.it .

Al momento la mansione di Ente di registrazione è svolta da Cedacri.

3.1.3 Titolare

Il Titolare è tenuto a:

• fornire al Certificatore Accreditato, tutte le informazioni necessarie all’atto della richiesta del Certificato;

• utilizzare la Chiave privata per i soli scopi per i quali la corrispondente Chiave pubblica è stata certificata;

• custodire diligentemente il Dispositivo di firma;

• custodire le informazioni di abilitazione all'uso della Chiave privata (P.I.N. del Dispositivo di firma) in un luogo diverso dal dispositivo contenente la chiave;

• custodire diligentemente il Codice di Blocco, ovvero il codice di emergenza necessario per effettuare le eventuali operazioni di sospensione e revoca dei certificati caricati sul dispositivo sicuro;

• richiedere immediatamente la revoca del Certificato in caso di smarrimento, furto, deterioramento o distruzione del Dispositivo di firma;

• richiedere immediatamente la revoca del Certificato in caso di certezza di compromissione della Chiave privata utilizzata;

• cessare l'utilizzo della coppia di chiavi una volta che il Certificato è scaduto;

• comunicare un indirizzo di e-mail valido;

• informare il Certificatore Accreditato di eventuali successive variazioni del proprio indirizzo e-mail, inviando un messaggio di posta elettronica firmato con il proprio Certificato all’indirizzo: [email protected];

• adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri;

• comunicare tempestivamente al Certificatore Accreditato le variazioni dei propri dati identificativi e/o dei poteri di rappresentanza o di altri titoli relativi all’attività o a cariche rivestite (modifica, cessazione, revoca).

Il Certificatore Accreditato non è responsabile dei danni causati al Titolare, agli Utenti Utilizzatori, ed ai terzi del mancato rispetto, da parte del Titolare, dei suoi obblighi in quanto Titolare e più in generale degli obblighi di cui al presente “Manuale”.

Il Certificatore Accreditato, ferma restando la facoltà di revocare o sospendere il Certificato, potrà risolvere in qualsiasi momento, ai sensi dell’articolo 1456 del Codice Civile, il rapporto contrattuale in essere con il Titolare, qualora questi non adempia anche ad uno solo degli obblighi previsti dal presente paragrafo.

3.1.4 Utente utilizzatore

L’Utente utilizzatore delle chiavi pubbliche certificate è tenuto a svolgere almeno le seguenti azioni:

Verificare che la tipologia del certificato utilizzato per la firma sia coerente a quanto indicato all’art. 5 comma 4 del DPCM rif.[2] ed alla delibera CNIPA rif.[4], art. 12 comma 5 lettera a;

Verificare le liste dei certificati revocati e sospesi pubblicata dal Certificatore per assicurarsi che il certificato fosse valido al momento della firma;


IA00G004 - 13


Pag. 20 di 35


Verificare l’esistenza di eventuali limitazioni all’uso del certificato;

Verificare che il certificato sia stato rilasciato da un certificatore pubblicato nelle liste reperibili presso Agenzia per l’Italia Digitale.

I dati dei Titolari non possono essere usati per comunicazioni non richieste, quali pubblicità o simili, anche se sono pubblicati.

IA00G004 - 13


Pag. 21 di 35


4. PARTE III: MODALITÀ OPERATIVE

4.1. IDENTIFICAZIONE DEL RICHIEDENTE

L'identità del Richiedente viene accertata dal Certificatore Accreditato tramite l’operatore dedicato alla funzione di Ente di registrazione.

Al fine di ottenere un certificato di sottoscrizione, il Richiedente deve:

prendere visione del presente Manuale Operativo e dell’eventuale ulteriore documentazione informativa;

seguire le procedure di identificazione adottate dal Certificatore come descritte nel presente paragrafo;

fornire tutte le informazioni necessarie alla identificazione, corredate, ove richiesto, da idonea documentazione;

sottoscrivere la richiesta di registrazione accettando le condizioni contrattuali che disciplinano l’erogazione del servizio.

4.1.1 Informazioni Indispensabili per il rilascio del certificato

Nel modulo di richiesta per il certificato qualificato sono contenute sia i dati relativi all’identità del titolare che le informazioni che consentono di gestire il rapporto fra Certificatore e Titolare.

I dati indispensabili per l’emissione del certificato che il Richiedente deve obbligatoriamente fornire, sono i seguenti:

Cognome e Nome

Data e Luogo di Nascita

Codice Fiscale

Indirizzo di residenza

Indirizzo email

4.1.2 Utilizzo di pseudonimo

E’ possibile richiedere al Certificatore che il certificato riporti uno pseudonimo in luogo dei propri dati reali. Poiché il certificato è qualificato, il Certificatore conserverà le informazioni relative alla reale identità del Richiedente per 20 anni.

4.1.3 Limiti d’uso e di valore

E' possibile richiedere al certificatore l'inserimento nel certificato di limiti di valore che indichino un limite di valore degli atti unilaterali e dei contratti per i quali il certificato stesso può essere usato.

Ferma restando la responsabilità del Certificatore [7], è responsabilità dell'Utente verificare il rispetto dei limiti d’uso inseriti nel certificato.

IA00G004 - 13


Pag. 22 di 35


La richiesta di inserire altre specifiche limitazioni d'uso sarà valutata dal Certificatore per gli aspetti legali, tecnici e di interoperabilità e valorizzata di conseguenza.

4.1.4 Inserimento del Ruolo e dell’Organizzazione

Il Richiedente può ottenere, direttamente, o con il consenso dell’eventuale Terzo Interessato, l’inserimento nel certificato di sottoscrizione di informazioni relative a Funzioni, Titoli e/o Abilitazioni Professionali e Poteri di Rappresentanza.

In questo caso, il Titolare, oltre alla documentazione e alle informazioni identificative necessarie, dovrà produrre anche quella idonea a dimostrare l’effettiva sussistenza dello specifico Ruolo anche attestandolo mediante Autocertificazione, ai sensi dell’art. 46 del D.P.R. rif. [1].

La ragione sociale o la denominazione e il codice identificativo dell'Organizzazione saranno invece riportate nel certificato se essa ha richiesto o autorizzato il rilascio del certificato al Titolare, anche senza l'esplicita indicazione di un ruolo.

4.2. REGISTRAZIONE DEL RICHIEDENTE

Prima di poter procedere all’effettivo rilascio del certificato, è necessario memorizzare negli archivi del Certificatore i dati del Richiedente. Questo processo viene portato a termine dal Certificatore Accreditato tramite l’operatore dedicato alla funzione di Ente di registrazione e si svolge nel seguente modo:

Il Richiedente si presenta presso la sede Cedacri di Collecchio (PR), o presso un Ente di registrazione di CEDACRI per richiedere il rilascio di un nuovo Certificato;

l’operatore incaricato produce la documentazione contrattuale a partire dal modulo di richiesta predefinito, su cui vengono inseriti i dati anagrafici dell'utente; la documentazione viene firmata per accettazione dall'utente;

l’operatore incaricato si collega al sistema Cedacricert e mediante un collegamento interno via Browser Web, effettua l'autenticazione al sistema;

l'operatore incaricato effettua il riconoscimento dell'utente secondo la normativa vigente.

L’utilizzo di pseudonimi è consentito e regolato così come descritto nel paragrafo 4.1.3 del

presente manuale. Il richiedente munito di poteri di rappresentanza o di altri titoli relativi

all’attività professionale o a cariche rivestite, se desidera inserirli come ruoli all’interno del

certificato, deve fornire le informazioni dettagliate nel paragrafo 4.1.4 del presente manuale.

l'operatore incaricato procede alla registrazione inserendo i dati anagrafici del Richiedente , più tutte le informazioni necessarie alla sua gestione successiva;

4.3. RILASCIO DEL CERTIFICATO

Il processo di rilascio del certificato prevede le due seguenti casistiche:

Chiavi generate su token USB.

Chiavi generate su HSM e destinate all’utilizzo per la sottoscrizione automatica.

Il Certificato qualificato emesso ha validità di 1095 giorni salvo revoca.

IA00G004 - 13


Pag. 23 di 35


4.3.1 Chiavi generate su smart card o token

Alla presenza del Titolare, immediatamente terminata la fase di registrazione, l’operatore avvia la procedura di generazione della coppia di chiavi e di emissione del certificato.

La procedura consiste nel consentire al Titolare di personalizzare i codici segreti PIN e PUK del dispositivo, effettuare l’operatività necessaria alla creazione della coppia di chiavi, scaricare il relativo Certificato sul dispositivo di firma, creare il codice di blocco necessario per effettuare le eventuali operazioni di sospensione e revoca dello stesso.

4.3.2 Chiavi generate su HSM destinate all’utilizzo per la

sottoscrizione automatica

Questa procedura viene effettuata successivamente alla fase di registrazione, dal personale del Certificatore presso i locali che ospitano l'HSM ed i server collegati. Il certificato emesso è inviato al Titolare. Certificato e chiavi sono resi “non funzionali” fino a che il Titolare stesso non provveda a richiederne l'attivazione.

4.4. REVOCA CERTIFICATO

La revoca può avvenire su richiesta del Titolare, su iniziativa del Certificatore Accreditato o su richiesta di Terzo interessato.

Nel caso che la revoca venga richiesta dal Certificatore o dal terzo Interessato, il certificatore comunicherà al titolare tale evento utilizzando i riferimenti (telefono, indirizzo di posta elettronica) forniti dal titolare stesso in fase di registrazione.

La revoca di un Certificato è sempre definitiva.

4.4.1 Revoca Certificato su richiesta del Titolare

Il Titolare può richiedere la revoca del Certificato per uno dei seguenti motivi:

la chiave privata sia stata compromessa, ovvero sia presente uno dei seguenti casi:

- sia stato smarrito il dispositivo sicuro di firma che contiene la chiave;

- sia venuta meno la segretezza della chiave o del suo codice d’attivazione (PIN);

- si sia verificato un qualunque evento che abbia compromesso il livello d’affidabilità della

chiave;

il Titolare non riesce più ad utilizzare il dispositivo sicuro di firma in suo possesso (es. guasto del

dispositivo)

Il Richiedente è tenuto a presentare la richiesta di revoca compilando e sottoscrivendo il modulo di revoca (pubblicato sul sito web nel menù “modulistica del servizio”) unitamente ad una fotocopia di un documento di identità in corso di validità e avendo a disposizione il Codice di Blocco.

IA00G004 - 13


Pag. 24 di 35


In caso di smarrimento del Codice di Blocco, il Titolare può richiedere comunque la revoca sfruttando il canale telefonico. Questa provoca solo una sospensione del Certificato per 6 giorni di calendario consecutivi in attesa di una richiesta scritta del Titolare, da consegnarsi all’Ente di registrazione presso cui lo stesso ha stipulato il contratto, che provvederà ad inoltrarlo al Certificatore Accreditato, oppure direttamente agli uffici del Certificatore siti in Collecchio (PR) Il modulo di revoca andrà stampato, compilato manualmente, firmato con firma autografa e consegnato al Certificatore :

1. direttamente presso:

CEDACRI S.p.A.- Ufficio Sicurezza

Via del Conventino, 1 - 43044 Collecchio (PR)

2. via lettera all'inidrizzo sopra menzionato

3. via fax.presso CEDACRI - Ufficio Sicurezza al n.ro 0521/807.372

4. via telefonica al numero 840 033033, attivo 24 ore su 24, 7 giorni su 7, festivi compresi,

In tutti i casi Il Certificatore richiede al Titolare tutti i dati necessari per effettuare tutte le verifiche del caso.

4.4.2 Revoca Certificato su iniziativa del Certificatore Accreditato

Il Certificato può essere revocato su iniziativa del Certificatore Accreditato in caso di:

a. sospetto o certezza di compromissione della Chiave privata dell'utente;

b. sospetto o certezza di compromissione della Chiave privata della CA;

c. riscontro di una condizione di non rispetto delle condizioni d'uso;

d. cessazione di attività di CA.

Il Certificatore Accreditato informa preventivamente il Titolare in merito alla revoca comunicando data ed ora di efficacia della revoca.

Nei casi previsti ai punti a, b, c, il Certificatore Accreditato revoca il Certificato, pubblica la CRL aggiornata ed informa contestualmente il Titolare e l’Ente di registrazione.

In tutti i casi la comunicazione avviene via e-mail all'ultimo indirizzo comunicato dal Titolare.

Nel caso previsto al punto d, si fa riferimento a quanto previsto nel DPCM rif.[2].

IA00G004 - 13


Pag. 25 di 35


4.4.3 Revoca su iniziativa del Terzo interessato

Il Terzo interessato può richiedere la revoca del Certificato rilasciato a suo tempo al titolare, quale rappresentante o delegato o munito di altri titoli relativi all’attività professionale o a cariche rivestite, con il consenso del predetto terzo interessato, come da normativa vigente.

La richiesta deve essere effettuata per iscritto con adeguata documentazione giustificativa. Il Certificatore Accreditato provvede a valutare la richiesta ed a contattare il Titolare, procedendo eventualmente alla sospensione del Certificato in attesa di chiarimenti.

4.4.4 Lista dei Certificati revocati – CRL

I Certificati revocati vengono inseriti nella CRL (lista dei Certificati revocati), emessa dal Certificatore Accreditato e pubblicata con marcatura temporale.

La pubblicazione ordinaria della suddetta lista avviene con cadenza giornaliera ogni 8 ore.

In caso di richiesta di revoca immediata, la lista dei Certificati revocati (CRL) sarà prontamente pubblicata.

4.5. SOSPENSIONE

La sospensione può avvenire su richiesta del Titolare oppure su iniziativa del Certificatore Accreditato o su richiesta di un Terzo interessato.

La sospensione di un certificato digitale può rendersi necessaria nel caso che si debba verificare preventivamente la revoca dello stesso (ad esempio quando si abbia il dubbio ma non la certezza della perdita del controllo di uno o più dati per l’utilizzo del servizio di firma digitale)

La sospensione può avvenire su richiesta del Titolare oppure su iniziativa del Certificatore Accreditato o su richiesta di un Terzo interessato.

Una volta sospeso il certificato rimarrà in tale stato per un periodo massimo di 90 (novanta) giorni trascorsi i quali,se non più ripristinato, verrà automaticamente e definitivamente revocato.

Le procedure per la sospensione del certificato sono completamente analoghe a quelle descritte per la revoca dello stesso.

4.5.1 Lista dei Certificati sospesi CSL

I Certificati sospesi vengono inseriti nella CSL (lista dei Certificati sospesi), emessa dal Certificatore Accreditato e pubblicata con marcatura temporale.

La pubblicazione ordinaria della suddetta lista avviene con cadenza giornaliera.

In caso di richiesta di sospensione immediata, la lista dei Certificati sospesi (CSL) sarà prontamente pubblicata.

IA00G004 - 13


Pag. 26 di 35


4.6. RINNOVO E SOSTITUZIONE DEL CERTIFICATO E DELLE CHIAVI DI

CERTIFICAZIONE

4.6.1 Rinnovo del certificato del Titolare

Il periodo di validità del Certificato è quello compreso nell’intervallo di tempo specificato dai campi del Certificato “Valid from” e “Valid to”: nel primo vengono indicate la data e l’ora di inizio validità, nel secondo la data e l’ora di fine validità.

I Certificati emessi dalla Cedacri S.p.A. - Servizio Cedacricert hanno validità 1095 giorni.

Il Titolare che intende rinnovare il proprio Certificato deve farne domanda al Certificatore Accreditato, almeno 30 giorni prima della scadenza di quello in suo possesso. Tale richiesta dovrà essere firmata con le chiavi in corso di validità, in modo che il Certificatore Accreditato sia in grado di verificare l’identità del Richiedente. L’avvenuto rinnovo del Certificato sarà notificato al Titolare via posta elettronica all’ultimo indirizzo e-mail comunicato.

Una volta ricevuto il nuovo certificato, la Chiave privata relativa al vecchio Certificato non dovrà più essere utilizzata.

Il vecchio Certificato sarà conservato, a partire dalla data di scadenza, negli archivi del Certificatore Accreditato per 20 anni.

Trascorso il periodo di validità del certificato, non è più possibile effettuare il rinnovo, ma si dovrà procedere ad una nuova registrazione da parte del Richiedente.

4.6.2 Sostituzione delle chiavi di certificazione del Certificatore

Accreditato

Con riferimento al DPCM rif.[2], almeno 90 giorni prima della scadenza del certificato relativo alla coppia di chiavi di certificazione il Certificatore Accreditato avvia la procedura di sostituzione, generando una nuova coppia di chiavi, rispettando le modalità previste . I Certificati prodotti secondo le suddette regole, saranno forniti all’ Agenzia per l’Italia Digitale.

4.7. MODALITÀ OPERATIVE PER LA VERIFICA E L’APPOSIZIONE DELLA

FIRMA DIGITALE

Il Certificatore nel rispetto delle indicazioni presenti nel DPCM rif.[2] mette a disposizione dei titolari e degli utilizzatori dei certificati digitali, degli strumenti per l’apposizione e la verifica della firma.

Cedacricert mette a disposizione gratuitamente l’applicativo Firma Facile Web raggiungibile all’indirizzo : https:\\firmafacile.cedacri.it

Il suddetto applicativo permette agli utenti di:

IA00G004 - 13


Pag. 27 di 35


firmare digitalmente un qualsiasi documento informatico;

verificare le firme digitali apposte secondo il formato definito dalla Deliberazione CNIPA [4]

verificare le firme digitali apposte secondo il formato definito dalla Circolare AIPA 24/2000 [8].

Le releases dei sistemi operativi compatibili con il servizio Cedacricert, nonchè il documento in cui sono presenti le istruzioni per la generazione e la verifica della firma digitale, sono reperibili sul sito ufficiale Cedacricert.

IA00G004 - 13


Pag. 28 di 35


5. MARCA TEMPORALE

In generale una marca temporale è una struttura di dati firmata digitalmente che lega in modo sicuro e verificabile un qualsiasi documento informatico ad un riferimento temporale affidabile.

Cedacricert utilizza un sistema fidato, le cui chiavi sono certificate da una autorità di certificazione, ovvero Time Stamping Authority, per i propri servizi interni e per offrire un servizio di marcatura temporale ai propri utenti.

Tutte le marche temporali emesse dal sistema di validazione sono conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a venti anni.

La marca temporale e' valida per l'intero periodo di conservazione a cura del fornitore del servizio.

5.1. MARCATURA TEMPORALE DEI CERTIFICATI E DELLE CRL/CSL

Tutti i Certificati emessi dalla Cedacri S.p.A. – Servizio Cedacricert, sono pubblicati con l’apposizione di Marca temporale, così come la lista dei Certificati revocati (CRL) e/o la lista dei Certificati sospesi (CSL).

5.2. SERVIZIO DI MARCATURA TEMPORALE

Cedacricert offre ai suoi utenti un servizio di validazione temporale di documenti informatici.

Il servizio di marcatura temporale permette di associare ad una evidenza informatica, una data ed un’ora certa validandola temporalmente.

La richiesta di emissione o verifica delle marche temporali può essere effettuata attraverso il tool Firma Facile Web messo a disposizione da Cedacricert.

Le istruzioni per l’utilizzo del prodotto sono presenti nel documento denominato “Istruzioni Operative per la Firma Digitale e la Crittografia scaricabile dal sito ufficiale Cedacri.

Il servizio di validazione, una volta ricevuta la richiesta di marcatura temporale contenente l’impronta dell’evidenza informatica da sottoporre a validazione temporale calcolata utilizzando l’algoritmo di hash SHA-256, genera una struttura di dati contenente, tra le varie informazioni, l’impronta medesima e la data/ora corrente, con riferimento al Tempo Universale Coordinato, ottenuta da una fonte esatta.

Su questa struttura dati, viene quindi apposta la firma del sistema elettronico sicuro gestito da Cedacricert, creando cosi’ la marca temporale vera e propria che successivamente viene resa disponibile all’utente che ne ha fatto richiesta.

La validazione temporale dei documenti informatici firmati digitalmente, attraverso l’apposizione di una marca temporale nel momento in cui il certificato digitale del sottoscrittore sia in corso di validità, permette di verificare e considerare valida la firma digitale apposta, anche quando il certificato andrà in scadenza o, eventualmente, verrà revocato o sospeso.

La data/ora corrente inserita dal servizio di validazione nelle marche temporali, viene mantenuta allineata con l’ora esatta UTC (Tempo Universale Coordinato) grazie al segnale di sincronismo ottenuto da un ricevitore esterno di qualità del segnale emesso dalla rete dei satelliti GPS.

Il segnale orario così ottenuto rispetta i margini di precisione richiesti dalla normativa vigente.

IA00G004 - 13


Pag. 29 di 35


6. REGISTRO DEI CERTIFICATI

6.1. GESTIONE DEL REGISTRO DEI CERTIFICATI

Tutti i certificati emessi dal certificatore Cedacri sono inseriti nel registro dei certificati, registro che non è pubblico.

Esiste anche un registro pubblico dove sono pubblicati :

I certificati per le chiavi del certificatore,

I certificati relativi ad accordi di certificazione,

La lista dei certificati revocati e sospesi.

Gli elenchi sono costantemente ed immediatamente aggiornati in seguito alle operazioni eseguite sul sistema dal personale addetto alla gestione del registro dei Certificati.

Il registro dei certificati viene gestito in modo da poter avere una continuità di servizio dell’elenco dei certificati revocati e sospesi (CRL e CSL), per agevolare la verifica delle firme.

In caso di emergenza, sono disponibili copie di backup effettuate con cadenza giornaliera che permettono il ripristino entro i termini dichiarati nel paragrafo 8.3 .

6.2. MODALITÀ DI ACCESSO AL REGISTRO DEI CERTIFICATI

Gli elenchi dei Certificati in vigore (previa autorizzazione del Titolare alla pubblicazione), revocati (CRL) o sospesi (CSL) sono disponibili sul sito http://www.cedacricert.it/ e vi si accede seguendo le istruzioni dei menù di navigazione.

Sono comunque raggiungibili anche via protocollo LDAP all’indirizzo ldap.cedacricert.it .

http://www.cedacricert.it/ldap/crl.asp

http://www.cedacricert.it/ldap/crl.asp

IA00G004 - 13


Pag. 30 di 35


7. GIORNALE DI CONTROLLO

Come previsto nel riferimento [2], il giornale di controllo è costituito dall’insieme delle registrazioni effettuate dal sistema del Certificatore Accreditato. L ’integrità del giornale di controllo viene verificata con cadenza mensile. Lo stesso viene archiviato e conservato per un periodo non inferiore ai 20 anni.

La data/ora inserita come riferimento temporale in ogni registrazione appartenente al giornale di controllo, viene mantenuta allineata con l’ora esatta UTC (Tempo Universale Coordinato).

IA00G004 - 13


Pag. 31 di 35


8. GESTIONE

8.1 RISERVATEZZA

Le informazioni raccolte dal Certificatore Accreditato nell’esercizio delle proprie funzioni vengono inizialmente raccolte su supporti cartacei e successivamente immesse nel sistema informatico dello stesso. Esse sono da considerarsi riservate, fatte salve quelle destinate all’uso pubblico dei Certificati e quindi pubblicate nel Directory Server. Non sono presenti informazioni ''sensibili'' ai sensi del Decreto Legislativo n. 196 del 30 giugno 2003.

I supporti cartacei sono archiviati anche elettronicamente e mantenuti per il periodo di 20 anni.

In ogni caso, il Certificatore Accreditato si atterrà a quanto previsto dal Decreto Legislativo n. 196 del 30 giugno 2003 e successive modificazioni, nel trattamento dei dati personali di cui verrà in possesso e nell’adozione delle relative misure di sicurezza.

8.2. SICUREZZA

E’ stato redatto un piano per la sicurezza secondo le disposizioni dell’articolo 35 DPCM rif. [2], che costituisce un documento riservato, comunque consegnato all’ AGENZIA PER L’ITALIA DIGITALE. Nel Piano sono dettagliate le misure di sicurezza fisiche e logiche adottate per la protezione dell’integrità e della riservatezza dei dati.

In particolare , i locali nei quali sono situate le apparecchiature utilizzate dal Certificatore Accreditato per l’esercizio delle proprie funzioni, sono protetti da un sistema di controllo accessi e da videocamere, che fanno capo ad un servizio di vigilanza costituente un presidio permanente. Solo al personale addetto è concessa l’abilitazione ad entrare nei suddetti locali, e comunque ogni accesso è rigorosamente registrato.

Oltre al controllo fisico, vengono effettuati controlli ed analisi di tipo logico sulle registrazioni effettuate dai vari sistemi (files di log), in modo da verificare che tutti gli eventi verificatesi facciano parte della normale attività del Certificatore Accreditato.

Tutti i dati rilevanti (log di accesso fisico alle aree protette riservate ai sistemi della Certification Authority, i log di tutti i sistemi coinvolti nell’erogazione del servizio, etc..) per il Servizio sono periodicamente salvati su copie di sicurezza, opportunamente conservate per gli eventuali ripristini in caso di guasto.

8.3. EMERGENZE

La Cedacri S.p.A. ha predisposto un piano di intervento nelle situazioni di emergenza, includendovi quelle catastrofiche che potrebbero causare l’indisponibilità totale e/o parziale del sito principale del Servizio Cedacricert.

Le funzionalità offerte dalla Cedacri S.p.A., tenendo conto dei livelli di priorità di erogazione del Servizio Cedacricert, sono suddivise in due categorie:

• Categoria A: ne fanno parte i servizi per i quali sono richiesti tempi di ripristino brevi, quali:

- Revoca e/o sospensione dei Certificati

- Verifica delle CRL/CSL

• Categoria B: ne fanno parte i servizi per i quali non sono richiesti tempi di ripristino brevi, quali :

- Registrazione e/o emissione dei Certificati

IA00G004 - 13


Pag. 32 di 35


La Cedacri S.p.A., nella sua funzione di Certificatore Accreditato, garantisce, in caso di emergenze, il ripristino entro le 8 (otto) ore successive al verificarsi dell’evento, dei servizi appartenenti alla Categoria A, entro le 48 (quarantotto) ore successive al verificarsi dell’evento per i servizi facenti parte della Categoria B.

Il ripristino del servizio di verifica delle CRL viene comunque garantito entro le 8 (otto) ore successive al verificarsi della catastrofe.

IA00G004 - 13


Pag. 33 di 35


9. ALLEGATO 1

9.1. TOOL-KIT

E’ prevista una sola configurazione Toolkit che comprende:

N.1 token-USB;

N.1 CD-Rom con il software necessario per l’utilizzo del toolkit

Viene messo a disposizione dell’utente l’applicativo di firma e verifica, Firma Facile Web attraverso l’url:

https:\\firmafacile.cedacri.it

9.1.1 Emissione certificato su dispositivo proprietario

E’ possibile che il cliente sia già in possesso di un dispositivo hardware compatibile con la soluzione Cedacricert e che quindi possa acquistare solo il certificato di cui necessita, portando il dispositivo presso la RA al momento dell’acquisto.

IA00G004 - 13


Pag. 34 di 35


10. ALLEGATO 2

10.1. QUADRO DI RACCORDO DEL MANUALE OPERATIVO

CON L’ART. 36, COMMA 3°, DPCM 22/02/2013

Elementi previsti nel DPCM 13/01/2004 (art.38, comma 3)

Cap./Par. Titolo

a. dati identificativi del Certificatore Accreditato

2.1 Dati identificativi del Certificatore Accreditato

b. dati identificativi della versione del Manuale Operativo

1.2

frontespizio Validità

c. Responsabile del Manuale Operativo 2.2 Responsabile del Manuale Operativo

d. definizione degli obblighi del Certificatore, del Titolare e dei richiedenti la verifica delle firme

3.1 Obblighi e responsabilità dei soggetti coinvolti

e. definizione delle responsabilità e delle eventuali limitazioni agli indennizzi

3.1.3

2.10

Obblighi del Titolare

Polizza Assicurativa

f. indirizzo del sito web del certifcatore ove sono pubblicate le tariffe

2.9 Tariffe e sito https:\\www.cedacricert.it

g. modalità di identificazione e registrazione degli utenti

2.4

3.1.2

4.1

4.2

Prerequisiti alla richiesta di Certificato Qualificato

Ente di Registrazione

Identificazione del Richiedente

Registrazione del Richiedente

h. modalità di generazione delle chiavi per la creazione e verifica della firma

4.3

Rilascio del Certificato

i. modalità di emissione dei certificati 4.3

Rilascio del Certificato

l. modalità di inoltro delle richieste e della gestione di sospensione e revoca

4.3 Richiesta ed emissione del Certificato


IA00G004 - 13


Pag. 35 di 35


dei certificati

m. modalità di sospensione e revoca dei certificati

4.4

4.5

Revoca Certificato

Sospensione

m. modalità di sostituzione delle chiavi 4.6.1

4.6.2

Rinnovo del certificato del Titolare

Sostituzione delle chiavi di certificazione del Certificatore Accreditato

n. modalità di gestione del registro dei certificati

6.1 Gestione del registro dei certificati

o. modalità di accesso al registro dei certificati

6.2 Modalità di accesso al registro dei certificati

p. modalità per l’apposizione e la definizione del riferimento temporale

5 Marcatura temporale

q. modalità di protezione dei dati personali

8.1 Riservatezza

r. modalità operative per l’utilizzo del sistema di verifica delle firme di cui all’art. 14, comma 1

4.7 Modalità operative per la verifica e l’apposizione della firma digitale

s. modalità operative per la generazione della firma elettronica qualificata e della firma digitale

4.7 Modalità operative per la verifica e l’apposizione della firma digitale

Documents

Manuale Operativo Servizio CedacriCert · CPS Certification Practice Statement - Manuale Operativo CRL Certificate Revocation List - Lista dei Certificati revocati CSL Certificate