Prakti čna pravila rada - Banca Intesa Beograd Intesa ad Beograd Digitrust_cps.pdf · 4.2 Procesiranje aplikacije za dobijanje sertifikata .....38 4.2.1 Izvršavanje funkcije identifikacije

Banca Intesa ad Beograd Milentija Popovića 7b, 11070 Novi Beograd; call center: +381 (011) 310 88 88; www.bancaintesabeograd.com; tekući račun: 908-16001-87

Sertifikaciono telo Banca Intesa ad Beograd

Prakti čna pravila rada

CPS (Certificate Practice Statement)

OID CPS dokumenta 1.3.6.1.4.1.24885.2.2

– verzija 0.1 –

Beograd, Juli 2010.


2

Sadržaj 1. Uvod i pregled osnovnih pretpostavki ........................................................................ 8

1.1 Osnovne pretpostavke ................................................................................................. 8 1.1.1 Osnovni dokumenti rada Banca Intesa Beograd CA ....................................... 9 1.1.2 Meñusobni odnos osnovnih dokumenata rada Banca Intesa Beograd CA.. 9 1.1.3 Standardi................................................................................................................. 9 1.1.4 Posebna interna pravila rada............................................................................. 10

1.2 Sertifikati Banca Intesa Beograd CA ....................................................................... 10 1.3 Identifikacija ................................................................................................................. 12 1.4 Učesnici u PKI sistemu Banca Intesa ad Beograd CA ......................................... 13

1.4.1 Banca Intesa Beograd CA.................................................................................. 13 1.4.2 Registraciona tela Banca Intesa Beograd CA................................................. 18 1.4.3 Korisnici................................................................................................................. 19 1.4.4 Treće strane ......................................................................................................... 21 1.4.5 Drugi učesnici....................................................................................................... 22 1.4.6 Ispravno korišćenje sertifikata ........................................................................... 22 1.4.7 Zabranjeno korišćenje sertifikata ...................................................................... 23

1.5 Administracija Praktičnih pravila rada Banca Intesa ad Beograd CA................. 23 1.5.1 Organizacija administriranja Praktičnih pravila rada...................................... 23 1.5.2 Kontaktni detalji.................................................................................................... 23 1.5.3 Osoba koja odreñuje pogodnost CPS dokumenta ......................................... 24 1.5.4 Procedura odobravanja CPS dokumenta ........................................................ 24

1.6 Definicije i skraćenice................................................................................................. 24 2. Objavljivanje i repozitorijumi ....................................................................................... 30

2.1 Repozitorijumi .............................................................................................................. 30 2.2 Publikovanje informacija o sertifikatima .................................................................. 30 2.3 Vreme i frekvencija publikovanja.............................................................................. 31 2.4 Kontrole pristupa repozitorijumima........................................................................... 31

3. Identifikacija i autentifikacija korisnika ..................................................................... 32 3.1 Nazivi ............................................................................................................................ 32

3.1.1 Tipovi imena ......................................................................................................... 32 3.1.2 Potreba da imena budu sa realnim značenjem .............................................. 32 3.1.3 Anonimnost korisnika .......................................................................................... 32 3.1.4 Pravila za interpretaciju različitih formi imena................................................. 33 3.1.5 Jedinstvenost imena ........................................................................................... 33 3.1.6 Prepoznavanje, autentikacija i uloga robnih marki („trademarks“) .............. 33

3.2 Inicijalna provera identiteta........................................................................................ 33 3.2.1 Autentikacija identiteta organizacije ................................................................. 34 3.2.2 Autentikacija identiteta pojedinca...................................................................... 34 3.2.3 Informacije korisnika koje se ne verifikuju ....................................................... 34 3.2.4 Validacija autoriteta ............................................................................................. 35 3.2.5 Kriterijumi za interoperabilnost .......................................................................... 35

3.3 Identifikacija i autentifikacija zahteva za obnavljanje ključeva ............................ 35 3.3.1 Identifikacija i autentikacija za rutinsko obnavljanje ključeva ....................... 35


3

3.3.2 Identifikacija i autentikacija za obnavljanje ključeva nakon opoziva ........... 35 3.4 Identifikacija i autentifikacija zahteva za povlačenje sertifikata ........................... 35

4. Operativni zahtevi u vezi životnog ciklusa serti fikata ........................................... 37 4.1 Aplikacija za dobijanje sertifikata.............................................................................. 37

4.1.1 Ko može da dostavi aplikaciju za izdavanje sertifikata? ............................... 37 4.1.2 Proces dostavljanja zahteva za izdavanjem sertifikata (enrollment) i pridružene odgovornosti ............................................................................................... 37

4.2 Procesiranje aplikacije za dobijanje sertifikata....................................................... 38 4.2.1 Izvršavanje funkcije identifikacije i autentifikacije korisnika.......................... 38 4.2.2 Potvrñivanje ili odbijanje aplikacije za dobijanje kvalifikovanog ertifikata korisnika .......................................................................................................................... 38 4.2.3 Potrebno vreme za procesiranje aplikacije korisnika..................................... 38

4.3 Izdavanje sertifikata .................................................................................................... 39 4.3.1 Aktivnosti CA tokom procesa izdavanja kvalifikovanog sertifikata .............. 39 4.3.2 Obaveštenje korisnika od strane CA o izdatom sertifikatu ........................... 39

4.4 Prihvatanje sertifikata ................................................................................................. 39 4.4.1 Sprovoñenje procesa prihvatanja sertifikata ................................................... 39 4.4.2 Objavljivanje sertifikata od strane CA .............................................................. 40 4.4.3 Obaveštenje drugih entiteta o izdatom sertifikatu .......................................... 40

4.5 Korišćenje sertifikata i asimetričnog para ključa .................................................... 40 4.5.1 Korišćenje privatnog ključa i sertifikata od strane korisnika ......................... 40 4.5.2 Korišćenje javnog ključa i sertifikata od strane trećih strana........................ 40

4.6 Obnavljanje sertifikata................................................................................................ 41 4.6.1 Uslovi za obnavljanje sertifikata ........................................................................ 41 4.6.2 Ko može zahtevati obnavljanje sertifikata ....................................................... 41 4.6.3 Procesiranje zahteva za obnavljanjem sertifikata .......................................... 41 4.6.4 Obaveštenje korisnika da mu je izdat obnovljeni sertifikat ........................... 42 4.6.5 Sprovoñenje procesa prihvatanja obnovljenog sertifikata ............................ 42 4.6.6 Objavljivanje obnovljenog sertifikata od strane CA........................................ 42 4.6.7 Obaveštenje drugih entiteta od strane CA o obnovi datog sertifikata ......... 42

4.7 Generisanje novog para ključeva i sertifikata korisnika........................................ 42 4.7.1 Uslovi za generisanje novog para ključeva i sertifikata ................................. 42 4.7.2 Ko može zahtevati novi sertifikat sa novim javnim ključem .......................... 42 4.7.3 Procesiranje zahteva za novim parom ključeva i sertifikatom...................... 42 4.7.4 Obaveštenje korisnika da mu je izdat novi sertifikat ...................................... 43 4.7.5 Sprovoñenje procesa prihvatanja novog sertifikata ....................................... 43 4.7.6 Objavljivanje novog sertifikata od strane CA .................................................. 43 4.7.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog sertifikata ... 43

4.8 Modifikacije sertifikata korisnika ............................................................................... 43 4.8.1 Uslovi za modifikaciju sertifikata korisnika....................................................... 43 4.8.2 Ko može zahtevati modifikaciju sertifikata....................................................... 43 4.8.3 Procesiranje zahteva za modifikacijom sertifikata.......................................... 43 4.8.4 Obaveštenje korisnika da mu je izdat novi modifikovani sertifikat............... 44 4.8.5 Sprovoñenje procesa prihvatanja novog modifikovanog sertifikata ............ 44 4.8.6 Objavljivanje novog modifikovanog sertifikata od strane CA........................ 44 4.8.7 Obaveštenje drugih entiteta od strane CA o izdavanju novog modifikovanog sertifikata .............................................................................................. 44

4.9 Povlačenje i suspenzija sertifikata ........................................................................... 44


4

4.9.1 Uslovi za povlačenje sertifikata korisnika ........................................................ 44 4.9.2 Ko može zahtevati povlačenje sertifikata ........................................................ 45 4.9.3 Procedura zahteva za opozivom sertifikata .................................................... 45 4.9.4 Grace period zahteva za opozivm sertifikata .................................................. 45 4.9.5 Vreme za koje CA mora da procesira zahtev za opozivm sertifikata.......... 46 4.9.6 Zahtevi za treće strane u vezi provere statusa sertifikata............................. 46 4.9.7 Frekvencija izdavanja CRL liste ........................................................................ 46 4.9.8 Maksimalno kašnjenje u izdavanju CRL liste.................................................. 46 4.9.9 Raspoloživost procedure online provere statusa sertifikata ......................... 46 4.9.10 Zahtevi online provere statusa sertifikata...................................................... 46 4.9.11 Raspoloživost drugih formi objavljivanja statusa sertifikata ....................... 46 4.9.12 Specijalni zahtevi u odnosu na kompromitaciju privatnog ključa............... 46 4.9.13 Uslovi za suspenziju sertifikata ....................................................................... 47 4.9.14 Ko može zahtevati suspenziju sertifikata ...................................................... 47 4.9.15 Procedura zahteva za suspenzijom sertifikata ............................................. 47 4.9.16 Ograničenje perioda suspenzije sertifikata ................................................... 48

4.10 Servisi provere statusa sertifikata .......................................................................... 48 4.10.1 Operativne karakteristike ................................................................................. 48 4.10.2 Raspoloživost servisa ....................................................................................... 48 4.10.3 Opciona obeležja............................................................................................... 49

4.11 Prestanak korišćenja sertifikata.............................................................................. 49 4.12 Čuvanje i rekonstrukcija privatnog ključa korisnika............................................. 49

4.12.1 Politika i praksa čuvanja i rekonstrukcije privatnog ključa .......................... 49 4.12.2 Enkapsulacija sesijskog ključa i politika i praksa za rekonstrukciju .......... 49

5. Upravne, operativne i fizi čke bezbednosne kontrole ............................................ 50 5.1 Fizičke bezbednosne kontrole .................................................................................. 50

5.1.1 Lokacija i konstrukcija sajta ............................................................................... 50 5.1.2 Fizički pristup........................................................................................................ 50 5.1.3 Električno napajanje i klimatizacija ................................................................... 50 5.1.4 Izloženost poplavama i vremenskim nepogodama ........................................ 51 5.1.5 Prevencija i zaštita od požara............................................................................ 51 5.1.6 Medijumi za čuvanje podataka .......................................................................... 51 5.1.7 Odlaganje smeća................................................................................................. 51 5.1.8 Odlaganje rezervnih kopija ................................................................................ 51

5.2 Proceduralne kontrole ................................................................................................ 51 5.2.1 Poverljive uloge.................................................................................................... 52 5.2.2 Broj osoba koje se zahtevaju po svakom zadatku ......................................... 52 5.2.3 Identifikacija i autentikacija za svaku ulogu..................................................... 52 5.2.4 Uloge koje zahtevaju razdvajanje dužnosti ..................................................... 52

5.3 Kadrovske bezbednosne kontrole............................................................................ 52 5.3.1 Kvalifikacija i iskustvo ......................................................................................... 52 5.3.2 Procedura provere biografije ............................................................................. 53 5.3.3 Zahtevi za obučenošću....................................................................................... 53 5.3.4 Ponovna obuka .................................................................................................... 53 5.3.5 Rotacija poslova................................................................................................... 53 5.3.6 Kaznene mere u odnosu na zaposlene ........................................................... 53 5.3.7 Kontrole nezavisnih lica pod ugovorom ........................................................... 53 5.3.8 Dokumentacija za inicijalnu obuku i ponovnu obuku ..................................... 54


5

5.4 Procedure bezbednosnih provera/revizije .............................................................. 54 5.4.1 Tipovi zabeleženih dogañaja ............................................................................. 54 5.4.2 Frekvencija procesiranja logova........................................................................ 54 5.4.3 Period čuvanja audit logova............................................................................... 54 5.4.4 Zaštita audit logova ............................................................................................. 54 5.4.5 Procedure back-up-a audit logova .................................................................... 54 5.4.6 Sistem sakupljanja audit logova ........................................................................ 55 5.4.7 Obaveštenje subjekta koji je prouzrokovao dogañaj ..................................... 55 5.4.8 Ocena ranjivosti sistema .................................................................................... 55

5.5 Arhiviranje zapisa........................................................................................................ 55 5.5.1 Tipovi arhiviranih zapisa ..................................................................................... 55 5.5.2 Period čuvanja arhive ......................................................................................... 55 5.5.3 Zaštita arhive ........................................................................................................ 55 5.5.4 Procedura back-up-a arhive............................................................................... 56 5.5.5 Zahtevi za timestamping zapisa ........................................................................ 56 5.5.6 Sistem sakupljanja zapisa .................................................................................. 56 5.5.7 Procedure za dobijanje i verifikaciju informacija iz arhive............................. 56

5.6 Izmena ključeva........................................................................................................... 57 5.7 Kompromitacija i oporavak u slučaju katastrofe..................................................... 57

5.7.1 Procedure za postupanje u incidentnim i kompromitujućim situacijama .... 57 5.7.2 Računarski resursi, softver ili podaci koji su oštećeni ................................... 57 5.7.3 Procedure koje se sprovode kod kompromitacije privatnog ključa korisnika.......................................................................................................................................... 57 5.7.4 Mogućnosti kontinuiteta poslovanja nakon katastrofe ................................... 57

5.8 Završetak rada CA ili RA ........................................................................................... 58 6. Tehničke bezbednosne kontrole ................................................................................. 59

6.1 Generisanje i instalacija asimetričnog para ključeva ............................................ 59 6.1.1 Proces generisanja privatnog ključa Banca Intesa Beograd CA ................. 59 6.1.2 Korišćenje privatnih ključeva Banca Intesa Beograd CA .............................. 59 6.1.3 Tip privatnih ključeva Banca Intesa Beograd CA ........................................... 60 6.1.4 Generisanje ključa Banca Intesa Beograd CA................................................ 60 6.1.5 Ureñaji za generisanje ključeva Banca Intesa Beograd CA ......................... 60 6.1.6 Kontrole generisanja ključeva Banca Intesa Beograd CA ............................ 61 6.1.7 Isporuka privatnog ključa korisniku................................................................... 61 6.1.8 Dostava javnog ključa do izdavaoca sertifikata .............................................. 61 6.1.9 Dostava javnog ključa izdavaoca sertifikata trećim stranama...................... 61 6.1.10 Moguće „Key Usage" opcije ............................................................................ 61

6.2 Zaštita privatnog ključa .............................................................................................. 62 6.2.1 Standardi i kontrole kriptografskog hardverskog modula.............................. 62 6.2.2 Čuvanje privatnog ključa Banca Intesa Beograd CA ..................................... 63 6.2.3 Kontrole čuvanja ključa Banca Intesa Beograd CA ....................................... 63 6.2.4 Backup ključeva Banca Intesa Beograd CA.................................................... 63 6.2.5 Arhiviranje privatnog ključa ................................................................................ 63 6.2.6 Transfer privatnog ključa na hardverski kriptografski modul ........................ 63 6.2.5 Procedura deljenja tajni ...................................................................................... 63 6.2.5 Prihvatanje deljenih tajni .................................................................................... 64 6.2.6 Distribucija deljenih tajni za aktivaciju privatnog ključa Banca Intesa Beograd CA .................................................................................................................... 64


6

6.2.7 Metoda aktivacije privatnog ključa .................................................................... 64 6.2.8 Metoda deaktiviranja privatnog ključa .............................................................. 64 6.2.9 Uništavanje privatnog ključa Banca Intesa Beograd CA............................... 64 6.2.10 Rangiranje kriptografskih hardverskih modula ............................................. 65

6.3 Neki aspekti upravljanja parom ključeva ................................................................. 65 6.3.1 Arhiviranje javnog ključa..................................................................................... 65 6.3.2 Periodi validnosti sertifikata i privatnog ključa ................................................ 65

6.4 Aktivacioni podaci ....................................................................................................... 65 6.4.1 Generisanje i instalacija aktivacionih podataka .............................................. 65 6.4.2 Drugi aspekti u vezi aktivacionih podataka ..................................................... 65

6.5 Bezbednosne kontrole računara............................................................................... 66 6.5.1 Specifični zahtevi za bezbednost računara ..................................................... 66 6.5.2 Rangiranje bezbednosti računara ..................................................................... 66

6.6 Životni ciklus bezbednosnih kontrola ....................................................................... 66 6.7 Mrežne bezbednosne kontrole ................................................................................. 66 6.8 Vremenski pečat ......................................................................................................... 66

7. Profili sertifikata i CRL lista ......................................................................................... 67 7.1 Profili sertifikata ........................................................................................................... 67

7.1.1 Broj verzije ............................................................................................................ 68 7.1.2 Ekstenzije u sertifikatu ........................................................................................ 68 7.1.3 Objektni identifikatori algoritama ....................................................................... 72 7.1.4 Forme imena ........................................................................................................ 72 7.1.5 Ograničenja imena .............................................................................................. 78 7.1.6 Objektni identifikator............................................................................................ 78 7.1.7 Korišćenje „Policy Constraints“ ekstenzije ...................................................... 80 7.1.8 Sintaksa i semantika „Policy Qualifier“-sa ....................................................... 80 7.1.9 Semantika procesiranja kritične ekstenzije „Certificate Policies“................. 80

7.2 Profil CRL liste............................................................................................................. 80 7.2.1 Broj verzije ............................................................................................................ 81 7.2.2 CRL i CRL entry ekstenzije ................................................................................ 81

7.3 OCSP profil .................................................................................................................. 81 7.3.1 Broj verzije ............................................................................................................ 81 7.3.2 OCSP ekstenzije.................................................................................................. 82

8. Provera saglasnosti i druga ocenjivanja .................................................................. 83 8.1 Frekvencija ili uslovi ocenjivanja............................................................................... 83 8.2 Identitet/kvalifikacije procenjivača ............................................................................ 83 8.3 Odnos ocenjivača prema ocenjivanom entitetu ..................................................... 83 8.4 Teme pokrivene u procesu ocenjivanja................................................................... 83 8.5 Aktivnosti preduzete kao rezultat utvrñenih nedostataka ..................................... 84 8.6 Komunikacija rezultata ............................................................................................... 84

9. Drugi poslovni i pravni aspekti ................................................................................... 85 9.1 Cene.............................................................................................................................. 85

9.1.1 Cene izdavanja ili obnove sertifikata ................................................................ 85 9.1.2 Cena pristupa sertifikatima................................................................................. 85 9.1.3 Cena pristupa informacijama o statusu sertifikata ......................................... 85 9.1.4 Cene za druge servise ........................................................................................ 85 9.1.5 Politika povraćaja novca..................................................................................... 86

9.2 Finansijska odgovornost ............................................................................................ 86


7

9.2.1 Pokrivanje osiguranja.......................................................................................... 86 9.2.2 Druga dobra.......................................................................................................... 86 9.2.3 Osiguranje ili garancijsko pokrivanje za krajnje korisnike ............................. 86

9.3 Poverljivost poslovnih informacija ............................................................................ 87 9.3.1 Opseg poverljivih informacija............................................................................. 87 9.3.2 Informacije koje nisu u opsegu poverljivih informacija................................... 87 9.3.3 Odgovornost za zaštitu poverljivih informacija................................................ 87

9.4 Privatnost i zaštita personalnih informacija ............................................................ 87 9.4.1 Plan privatnosti..................................................................................................... 87 9.4.2 Informacije koje se tretiraju kao privatne ......................................................... 87 9.4.3 Informacije koje se ne smatraju privatnim ....................................................... 87 9.4.4 Odgovornost za zaštitu privatnih informacija .................................................. 88 9.4.5 Obaveštenje i saglasnost za korišćenje privatnih informacija ...................... 88 9.4.6 Otkrivanje informacija shodno pravnim i administrativnim procesima ........ 88 9.4.7 Druge okolnosti za otkrivanje informacija ........................................................ 88

9.5 Prava intelektualnog vlasništva ................................................................................ 88 9.6 Predstavljanje i garancije........................................................................................... 89

9.6.1 CA predstavljanje i garancije ............................................................................. 89 9.6.2 RA predstavljanje i garancije ............................................................................. 89 9.6.3 Korisničko predstavljanje i garancije ................................................................ 89 9.6.4 Predstavljanje i garancije trećih strana ............................................................ 89 9.6.5 Predstavljanje i garancije drugih učesnika ...................................................... 89

9.7 Nepriznavanje garancije ............................................................................................ 89 9.8 Ograničenja odgovornosti.......................................................................................... 89 9.9 Odštete ......................................................................................................................... 90 9.10 Period važnosti i kraj validnosti CPS ..................................................................... 90

9.10.1 Važnost ............................................................................................................... 90 9.10.2 Kraj validnosti..................................................................................................... 90 9.10.3 Efekat završetka i ponovnog rada .................................................................. 90

9.11 Pojedinačna obaveštenja i komunikacija sa učesnicima.................................... 90 9.12 Ispravke ...................................................................................................................... 91

9.12.1 Procedure za ispravku ...................................................................................... 91 9.12.2 Mehanizam i period obaveštavanja................................................................ 91 9.12.3 Uslovi promene objektnog identifikatora (OID)............................................. 91

9.13 Procedure rešavanja sporova................................................................................. 91 9.14 Zakon koji se poštuje ............................................................................................... 91 9.15 Saglasnost sa primenljivim zakonima ................................................................... 92 9.16 Razne odredbe.......................................................................................................... 92

9.16.1 Kompletan ugovor ............................................................................................. 92 9.16.2 Dodeljivanje ........................................................................................................ 92 9.16.3 Ozbiljnost ............................................................................................................ 92 9.16.4 Sprovoñenje pravnog postupka ...................................................................... 92 9.16.5 Viša sila............................................................................................................... 92

9.17 Druge odredbe .......................................................................................................... 92


8

1. Uvod i pregled osnovnih pretpostavki

Sertifikaciono telo Banca Intesa ad Beograd za eksterne korisnike (u nastavku: Banca Intesa Beograd CA) izdaje elektronske sertifikate tako što formira elektronski potpis sertifikata na osnovu svog privatnog ključa i asimetričnog kriptografskog algoritma. U tako formiranom elektronskom sertifikatu, Banca Intesa Beograd CA se identifikuje kao izdavalac elektronskog sertifikata, ili eventualno izdavalac kvalifikovanog elektronskog sertifikata u skladu sa Zakonom o elektronskom potpisu i odgovarajućim podzakonskim aktima. Ukoliko to bude aktuelno, Banca Intesa Beograd CA će izdavati kvalifikovane elektronske sertifikate korisnika u skladu sa dokumentima ETSI ESI TS 101 862 „Qualified Certificate Profile”, RFC 3739 „Internet X.509 Public Key Infrastructure: Qualified Certificates Profile“, RFC 5280 „Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile” i ETSI TS 102 280 „X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa obaveznim sadržajem definisanim u članu 17. Zakona o elektronskom potpisu Republike Srbije (u daljem tekstu: Zakon).

1.1 Osnovne pretpostavke

Banca Intesa Beograd CA je odgovorno za pružanje kompletnih usluga sertifikacije, koje uključuju sledeće servise, i to:

� Registraciju korisnika,

� Formiranje elektronskih sertifikata,

� Distribuciju elektronskih sertifikata korisnicima,

� Upravljanje procedurom opoziva elektronskih sertifikata i

� Obezbeñivanje statusa opozvanosti elektronskih sertifikata.

Banca Intesa Beograd CA može, pored navedenih servisa, da obezbedi i formiranje asimetričnog para ključeva za korisnike, kao i distribuciju privatnog ključa i sertifikata korisniku na bezbedan način. Banca Intesa Beograd CA može da obezbedi i sredstvo za formiranje elektronskog i kvalifikovanog elektronskog potpisa korisnicima i pridruženu lozinku (ili PIN kod) za aktivaciju sredstva, kao i njihovu bezbednu distribuciju do korisnika.


9

1.1.1 Osnovni dokumenti rada Banca Intesa Beograd C A

Banca Intesa Beograd CA utvrñuje Opšta interna pravila pružanja usluge sertifikacije (u daljem tekstu: Opšta pravila) u skladu sa Zakonom koja korisnicima obezbeñuju dovoljno informacija na osnovu kojih se mogu odlučiti o prihvatanju usluga i o obimu usluga. Opšta pravila sertifikacije Banca Intesa Beograd CA ugrañuju se u dokumenta:

1. Politika sertifikacije (Certificate Policy) – ovaj dokument;

2. Praktična pravila pružanja usluge Sertifikacije (Certification Practices Statement) (u daljem tekstu: Praktična pravila).

Politika sertifikacije i Praktična pravila su javni dokumenti. Politika sertifikacije definiše predmet rada sertifikacionog tela, dok Praktična pravila definišu procese i način njihovog korišćenja pri formiranju i upravljanju kvalifikovanim elektronskim sertifikatima.

1.1.2 Meñusobni odnos osnovnih dokumenata rada Banca Intesa Beograd CA

Politika sertifikacije definiše zahteve poslovanja sertifikacionog tela, dok Praktična pravila definišu operativne procedure u cilju ispunjenja tih zahteva. Praktična pravila definišu način na koji sertifikaciono telo ispunjava tehničke, organizacione i proceduralne zahteve poslovanja koji su identifikovani u Politici sertifikacije. Politika sertifikacije je manje specifičan i detaljan dokument u odnosu na Praktična pravila koja predstavljaju mnogo detaljniji opis načina poslovanja, kao i poslovne i operativne procedure koje sertifikaciono telo primenjuje u izdavanju i upravljanju kvalifikovanim elektronskim sertifikatima. Politika sertifikacije se definiše nezavisno od specifičnog operativnog okruženja sertifikacionog tela, dok Praktična pravila daju detaljan opis organizacione strukture, operativnih procedura, kao i fizičko i računarsko okruženje sertifikacionog tela.

1.1.3 Standardi

Opšta pravila funkcionisanja Banca Intesa Beograd CA su u skladu sa dokumentima RFC 3647 „Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework” i ETSI TS 101 456 „Policy Requirements for Certification Authorities Issuing Qualified Certificates”.


10

1.1.4 Posebna interna pravila rada

Banca Intesa Beograd CA utvrñuje i Posebna interna pravila rada sertifikacionog tela i zaštite sistema sertifikacije (u daljem tekstu: Posebna pravila) u kojima su sadržani i detaljno opisani postupci i mere koji se primenjuju prilikom izdavanja i rukovanja elektronskim sertifikatima i kvalifikovanim elektronskim sertifikatima. Posebna pravila su privatni dokument i predstavljaju poslovnu tajnu sertifikacionog tela. Posebna pravila sadrže detaljne odredbe o:

� sistemu fizičke kontrole pristupa u pojedine prostorije sertifikacionog tela;

� sistemu logičke kontrole pristupa računarskim resursima sertifikacionog tela;

� sistemu za čuvanje privatnog ključa sertifikacionog tela;

� sistemu distribuirane odgovornosti pri aktivaciji privatnog ključa sertifikacionog tela;

� postupcima i radnjama u vanrednim situacijama (požari, poplave, zemljotresi, druge vremenske nepogode, zlonamerni upadi u prostorije ili informacioni sistem sertifikacionog tela).

Banca Intesa Beograd CA će biti evidentirano od strane Nadležnog organa i biće predmet periodične supervizije u cilju osiguravanja saglasnosti sa zahtevima navedenim u Zakonu o elektronskom potpisu i odgovarajućim podzakonskim aktima.

1.2 Sertifikati Banca Intesa Beograd CA

Banca Intesa Beograd CA infrastruktura sistema sa javnim ključevima (PKI – Public Key Infrastructure sistem) je odgovorna za izdavanje sledećih vrsta sertifikata:

� Root CA za interne i eksterne korisnike – na smart kartici;

� Intermediate CA za eksterne korisnike – na smart kartici;

� Intermediate CA (Microsoft - Enterprise) za interne korisnike;

� Intermediate CA (Microsoft – Standalone) za uspostavu interne VPN (IPSec) mreže u Banci – Enterprise VPN

� (Opciono) različiti Intermediate CA sertifikati

� Sertifikati internih korisnika

o Zaposleni Banke – elektronski sertifikat na smart kartici – CID (Corporate ID)

o AdminWeb korisnici – elektronski sertifikat na smart kartici (posebna smart kartica)


11

o Poslovni saradnici - pojedinci iz partnerskih firmi – elektronski sertifikat na smart kartici (USB smart card token – iKey) za udaljeni pristup mreži Banke (VPN (IPSec))

� Sertifikati eksternih korisnika

o Fizička lica

� Za fizička lica – na mini CD medijumu za potrebe elektronskog home banking sistema – elektronski sertifikat (generički),

� (Opciono) Za fizička lica za potrebe realizacije elektronskog home banking sistema – na smart kartici – Maestro multiaplikativna EMV platna kartice – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za fizička lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o Pravna lica

� Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva Banca Intesa ad Beograd – na smart kartici – e-banking kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Za pravna lica – aplikacija web krediti - na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Za pravna lica – aplikacija Broker assistance – na smart kartici - elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica koja žele da budu CA u okviru PKI sistema Banca Intesa ad Beograd – (opciono) root signing program elektronski sertifikat,

� Sertifikati informacionih resursa – bez smart kartice (kako za interne tako i za eksterne korisnike):

o Za zaštitu e-mail sistema

o SSL sertifikati

o Code Signing sertifikati

o VPN (IPSec) sertifikati


12

Ovaj dokument predstavlja Praktična pravila rada sertifikacionog tela Banca Intesa ad Beograd u vezi izdavanja sertifikata eksternim korisnicima, fizičkim i pravnim licima. U okviru ovih CPS biće opisane odreñene konkretne odredbe oko implementacije i procedura rada Banca Intesa Beograd CA.

1.3 Identifikacija

Ovaj dokument predstavlja CPS Banca Intesa Beograd CA za eksterne korisnike Banca Intesa ad Beograd. Banca Intesa Beograd CA izdaje sledeće vrste sertifikata za eksterne korisnike:

� Fizička lica

o Za fizička lica – na mini CD medijumu za potrebe elektronskog home banking sistema – elektronski sertifikat (generički),

o (Opciono) Za fizička lica za potrebe realizacije elektronskog home banking sistema – na smart kartici – Maestro multiaplikativna EMV platna kartice – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o (Opciono) Za fizička lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Pravna lica

o Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva Banca Intesa ad Beograd – na smart kartici – e-banking kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o Za pravna lica – aplikacija web krediti - na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o Za pravna lica – aplikacija Broker assistance – na smart kartici - elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o (Opciono) Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o (Opciono) Za pravna lica koja žele da budu CA u okviru PKI sistema Banca Intesa ad Beograd – (opciono) root signing program elektronski sertifikat,

� Sertifikati informacionih resursa – bez smart kartice:


13


o SSL sertifikati



Identifikacioni podaci Banca Intesa Beograd CA su:

Banca Intesa Beograd CA Banca Intesa ad Beograd Bulevar Milutina Milankovi ća 1c 11070 Beograd Srbija www.bancaintesabeograd.com

Jedinstveno ime (Dname – issuer):

OU=Banca Intesa Beograd CA O=Banca Intesa ad Beograd C=RS

Ovaj dokument ima jedinstvenu oznaku (OID – Object Identifier):

� CPS (Certificate Practice Statement) za eksterne ko risnike Banke

OID CPS (1.3.6.1.4.1.24885.2.2)

1.4 Učesnici u PKI sistemu Banca Intesa ad Beograd CA

U ovom poglavlju su date osnovne informacije o učesnicima u okviru PKI sistema Banca Intesa ad Beograd CA.

1.4.1 Banca Intesa Beograd CA

Sertifikaciono telo je organizacija koja izdaje elektronske sertifikate. Banca Intesa Beograd CA je sertifikaciono telo (CA). Banca Intesa Beograd CA je odgovorna za objavljivanje ovih praktičnih pravila rada (CPS) u cilju podrške izdavanju elektronskih sertifikata za eksterne korisnike/klijente Banke. U tom smislu, ovaj CPS dokument (praktična pravila rada) kao i politike sertifikacije (CP) za fizička i pravna lica – eksterne korisnike, predstavljaju praktična pravila i odgovarajuće politike sertifikacije koji se primenjuju pri izdavanju Banca Intesa Beograd CA elektronskih sertifikata, kao i eventualnog izdavanja kvalifikovanih elektronskih sertifikata.


14

U cilju objavljivanja trećim stranama informacija koje se odnose na opozvane sertifikate, neophodno je da se izvrši odgovarajuće objavljivanje liste povučenih sertifikata (CRL – Certificate Revocation List). Banca Intesa Beograd CA periodično objavljuje takvu listu u skladu sa uslovima definisanim u ovom CPS dokumentu.

1.4.1.1 Hijerarhijska struktura Banca Intesa Beogra d CA

Banca Intesa Beograd CA predstavlja hijerarhijski PKI sistem za izdavanje elektronskih sertifikata za interne i eksterne korisnike. U pomenutoj arhitekturi (slika 1.4.2.1), postoji:

� Banca Intesa Beograd Root CA

� Banca Intesa Beograd Intermediate CA – interni korisnici

� Banca Intesa Beograd Intermediate CA – eksterni korisnici

� Banca Intesa Beograd Intermediate CA – Enterprise VPN

Slika 1.4.2.1: Hijerarhijska struktura Banca Intesa Beograd PKI sistema Sertifikat Banca Intesa ad Beograd Root CA je samopotpisani sertifikat. Intermediate CA sertifikati su potpisani od strane Banca Intesa ad Beograd Root CA tela. Sertifikati eksternih korisnika Banke su digitalno potpisani privatnim ključem odgovarajućeg Intermediate CA tela Banke. Sertifikati eksternih korisnika Banke se generišu na osnovu validnog zahteva za izdavanjem sertifikata koji se formira na osnovu podataka o datom korisniku koji se uzimaju u procesu registracije korisnika. Korisnički sertifikati mogu biti namenjeni za autentikaciju korisnika i za kreiranje elektronskog potpisa.

Banca Intesa Beograd Root CA

Banca Intesa Beograd

Intermediate CA – interni korisnici


Intermediate CA –eksterni korisnici


Intermediate CA – Enterprise VPN


15

Sva gore navedena sertifikaciona tela u okviru hijerarhije PKI sistema Banke se nalaze i upravljaju na centralnoj lokaciji Banke, a od strane Službe za ICT bezbednost i CA u okviru Sektora za bezbednost. Na slici 1.4.2.1, navedena sertifikaciona tela su realizovana na sledeći način:

� Root CA – Digitrust PKI tehnologija

� Intermediate CA za interne korisnike – MS 2008 Enterprise Subordinate CA tehnologija

� Intermediate CA za eksterne korisnike – Digitrust PKI tehnologija

� Intermediate CA za interne korisnike Enterprise VPN – MS 2003 Standalone Subordinate CA tehnologija

Hijerarhijski PKI sistem Banca Intesa Beograd CA može eventualno uključiti i bilo koje eksterno CA za koje Banca Intesa Beograd CA outsource-uje sertifikacione usluge u skladu sa odgovarajućim Ugovorom. Naime, Banca Intesa Beograd CA može omogućiti implementaciju sertifikacionih servisa i drugim CA, kao trećim stranama, u skladu sa odgovarajućim dogovorenim uslovima koji bi bili formalizovani odgovarajućim ugovorom. U okviru datog sertifikacionog okruženja, takva CA bi predstavljala intermediate CA tela u okviru Banca Intesa Beograd CA hijerarhije. Meñutim, ova tela moraju da pružaju nivo servisa koji je ekvivalentan nivou koje Banca Intesa Beograd CA obezbeñuje. U tom smislu, sprovodi se odgovarajuća procedura akreditacije, auditinga i primene odgovarajućih procedura u kojima Banca Intesa Beograd CA proverava sposobnost datog CA treće strane da izdaje elektronske sertifikate u skladu sa ovim CPS dokumentom, kao i pridruženim politikama sertifikacije. Prvo što se mora obezbediti u tom slučaju je da dato CA treće strane ima Praktična pravila rada koja su ekvivalentna i u skladu sa ovim CPS dokumentom. Drugim rečima, pretpostavka je da je Banca Intesa Beograd CA prethodno proverilo i analiziralo politike sertifikacije, praktična pravila i procedure rada datog sertifikacionog tela (uključujući Politike sertifikacije, CPS – Sertificate Practice Statement i interna pravila rada). Pored gore navedene „root signing“ opcije, Banca Intesa Beograd CA može da hostuje CA telo za neku drugu organizaciju, a pod dogovorenim uslovima uz formalizovan ugovor o tome. U ovom slučaju, u Banca Intesa Beograd CA hijerarhiji i mrežnoj infrastrukturi bi bio hostovan poseban server koji bi predstavljao intermediate CA server u Banca Intesa Beograd CA hijerarhiji za datu organizaciju. U ovom slučaju, data organizacija bi imala RA funkcionalnost za izdavanje sertifikata koji bi bili generisani u okviru Banca Intesa Beograd CA infrastrukture. Pored svih gore navedenih opcija, postoji mogućnost da se Banca Intesa Beograd CA krossertifikuje sa nekim eksternim CA telom u cilju uzajamnog meñusobnog


16

priznavanja sertifikata, o čemu mora biti sklopljen odgovarajući ugovor. U tom smislu, podrazumeva se da je prethodno izvršena analiza i meñusobno usklañivanje dokumentacije i operativnog rada navedenih sertifikacionih tela.

1.4.1.2 Obaveze Banca Intesa Beograd CA

Banca Intesa ad Beograd CA garantuje da će sprovoditi sve procedure definisane u ovim CPS. Banca Intesa ad Beograd CA koristi korisnički ugovor, CP i CPS u cilju sprovoñenja legalnih uslova korišćenja sertifikata od strane korisnika i trećih strana. Učesnici od interesa za ovaj CPS dokument u čitavoj Banca Intesa ad Beograd CA PKI infrastrukturi koji imaju odgovarajuće obaveze uključuju CA, RA, korisnike, treće strane i druge učesnike. Do nivoa specificiranog u odgovarajućim poglavljima CP i ovim CPS, Banca Intesa ad Beograd CA se obavezuje na:

� Punu saglasnost sa CP i ovim CPS, kao i svim odgovarajućim dodacima u trenutku kada se publikuju.

� Regularno i periodično ažuriranje dokumenata CP i ovih CPS, kao i njihovo javno publikovanje,

� Objavljivanje kontakt detalja sertifikacionog tela,

� Obezbeñivanje usluga sertifikacije u skladu sa Zakonom, podzakonskim aktima i ostalim normativnim aktima,

� Obezbeñivanje infrastrukture i sertifikacionih usluga, uključujući uspostavu i održavanje Banca Intesa ad Beograd CA repozitorijuma dokumenata i odgovarajućeg web sajta u cilju pružanja sertifikacionih usluga.

� Obezbeñivanje sigurnih mehanizama koji uključuju mehanizam generisanja ključeva, zaštite ključeva, kao i procedure deljenja tajni u skladu sa svojom sopstvenom PK infrastrukturom.

� Obezbeñivanje promptnog obaveštavanja u slučaju kompromitacije sopstvenog privatnog ključa.

� Obezbeñivanje i validaciju aplikacionih procedura za različite tipove sertifikata koje su javno raspoložive.

� Izdavanje elektronskih sertifikata u skladu sa CP i ovim CPS, kao i ispunjavanje sopstvenih preuzetih obaveza.

� Obaveštavanje korisnika da su sertifikati generisani za njih, kao i o načinu kako korisnici mogu da preuzmu sertifikate.

� Obaveštavanje aplikanta ukoliko Banca Intesa ad Beograd CA nije sposobno da izvrši validaciju korisničke aplikacije za dobijanje sertifikata u skladu sa CP i ovim CPS.

� Nakon prijema validnog zahteva od strane RA koje radi u okviru Banca Intesa ad Beograd CA mreže promptno izdaje sertifikat u skladu sa CP i ovim CPS.


17

� Opoziv sertifikata koji su izdati u skladu sa CP i ovim CPS nakon prijema validnog zahteva za opoziv sertifikata od strane autorizovanog lica koje može da zahteva opoziv.

� Objavljivanje izdatih sertifikata u skladu sa uslovima definisanim u CP i ovim CPS.

� Obezbeñivanje podrške korisnicima i trećim stranama kao što je opisano u CP i ovim CPS.

� Obnavljanje sertifikata korisnika u skladu sa CP i ovim CPS.

� Regularno i periodično objavljivanje liste opozvanih sertifikata, CRL liste, u skladu sa CP i ovim CPS koja je uvek dostupna svim zainteresovanim stranama,

� Obaveštavanje trećih strana o statusu sertifikata putem publikovanja CRL lista na Banca Intesa ad Beograd CA online repozitorijumu.

� Dostavljanja kopije CP i ovih CPS, kao i ostalih primenjlivih dokumenata po zahtevu neke od strana.

Banca Intesa ad Beograd CA potvrñuje da, osim gore navedenih, nema drugih obaveza po ovom CPS dokumentu.

1.4.1.3 Odgovornosti Banca Intesa Beograd CA

� Banca Intesa ad Beograd CA je odgovorno za izvršavanje gore navedenih obaveza u obimu koji odreñuje zakonska regulativa Republike Srbije.

� Banca Intesa ad Beograd CA nije odgovorno za zaštitu privatnih ključeva korisnika namenjenih za kreiranje digitalnog potpisa nakon uručenja ureñaja za elektronsko potpisivanje korisniku.

� Banca Intesa ad Beograd CA nije odgovorno za neodgovarajuću proveru validnosti sertifikata od strane koja se pouzdaje u sertifikat izdat od strane Banca Intesa ad Beograd CA.

� Banca Intesa ad Beograd CA nije odgovorno za moguću zloupotrebu sertifikata koja je nastala usled neispunjavanja obaveza korisnika ili treće strane koja se pouzdaje u sertifikat izdat od strane Banca Intesa ad Beograd CA.

� Banca Intesa ad Beograd CA nije odgovorno za neizvršavanje svojih obaveza koje je posledica bilo kog problema Nadležnog organa za poslove akreditacije i supervizije PKI sistema u Srbiji ili nekog drugog javnog autoriteta.

� Banca Intesa ad Beograd CA nije odgovorno za neizvršavanje svojih obaveza koje su posledica vanredne situacije ili više sile.


18

1.4.2 Registraciona tela Banca Intesa Beograd CA

Zahtevi za izdavanjem sertifikata za odgovarajuće interne i eksterne korisnike Banke se prikupljaju u ekspoziturama i regionalnim centrima Banca Intesa ad Beograd, kao i u samoj centrali Banke, koji igraju ulogu Registracionih autoriteta (RA – Registration Authority). Izuzetno, zahteve za izdavanjem sertifikata internim korisnicima Banke mogu podnositi i sami interni korisnici – zaposleni putem odgovarajuće automatizovane procedure. To će biti predmet posebne politike sertifikacije za interne korisnike, kao i posebnih praktičnih pravila rada (CPS) za interne korisnike. Drugim rečima, Banca Intesa Beograd CA pristupa svojim korisnicima putem mreže registracionih tela (centralno RA i mreža RA). Ova registraciona tela mogu biti:

� Banca Intesa Beograd CA na centralnoj lokaciji, kao centralno RA za interne i eksterne korisnike banke, kao i za treće strane za koje Banca Intesa Beograd CA eventualno outsource-uje usluge registracionog tela.

� Ekspoziture i regionalni centri Banca Intesa ad Beograd kao RA za potrebe internih i eksternih korisnika – za komitente (fizička i pravna lica) Banca Intesa ad Beograd,

� Treće strane kao RA (još se nazivaju i lokalna registraciona teka LRA – Local Registration Authority) za koje Banca Intesa Beograd CA outsource-uje sertifikacione usluge, tj. izdavanje sertifikata. LRA igraju ulogu RA za potrebe izdavanja sertifikata korisnicima iz njihovog domena od strane Banca Intesa Beograd CA ili hostovanog CA za datu organizaciju u okviru Banca Intesa Beograd CA infrastrukture.

RA tela interaktivno komuniciraju i sa korisnicima i sa Banca Intesa Beograd CA u cilju isporuke sertifikacionih usluga krajnjim korisnicima. U tom smislu, registraciona tela Banca Intesa Beograd CA:

� Prihvataju, analiziraju, potvrñuju ili odbijaju registraciju odgovarajućih korisničkih zahteva za sertifikatima (aplikacije za sertifikate).

� Registruju korisnike za korišćenje Banca Intesa Beograd CA sertifikacionih usluga.

� Sprovode sve korake u proceduri identifikacije korisnika što je definisano važećim zakonskim dokumentima i Opštim pravilima rada Banca Intesa Beograd CA.

� Koriste službene i overene dokumente u cilju provere korisnikove aplikacije.

� Nakon potvrde aplikacije korisnika, obaveštavaju na odgovarajući način Banca Intesa Beograd CA u cilju izdavanja sertifikata.


19

� Iniciraju proces povlačenja i zahtevaju povlačenje sertifikata od strane Banca Intesa Beograd CA.

Registraciona tela Banca Intesa Beograd CA deluju lokalno u okviru njihovog sopstvenog konteksta geografskog ili poslovnog partnerstva koje je potvrñeno i autorizovano od strane Banca Intesa Beograd CA. Banca Intesa Beograd CA registraciona tela deluju u skladu sa praksom, procedurama i osnovnim dokumentima rada Banca Intesa Beograd CA. Ne postoji ograničenje na broj registracionih tela koja mogu biti pridružena Banca Intesa Beograd CA PKI sistemu. Banca Intesa Beograd CA obezbeñuje registracionim telima u svojoj infrastrukturi neophodnu tehnologiju i know-how u cilju postizanja visokog nivoa obučenosti u skladu sa Banca Intesa Beograd CA funkcionalnim zahtevima.

1.4.2.1 Obaveze Banca Intesa Beograd RA

Sumarno, Banca Intesa ad Beograd RA se obavezuje na:

� Prijem aplikacija za izdavanje sertifikata u skladu sa CP i ovim CPS.

� Izvršavanje svih aktivnosti na verifikaciji i proveri autentičnosti aplikanata u skladu sa opisom Banca Intesa ad Beograd CA procedura, CP i ovim CPS (Provera identiteta osobe koja je podnela zahtev, kao i njenih ovlašćenja).

� Dostavljanje zahteva aplikanata do Banca Intesa ad Beograd CA u elektronski potpisanoj poruci (zahtev za izdavanjem sertifikata), u skladu sa procedurama koje su opisane Politikom sertifikacije (CP) i ovim Praktičnim pravilima rada (CPS) Banca Intesa ad Beograd CA.

� Zapisivanje svih aktivnosti u žurnalu dogañaja.

� Prijem, verifikaciju i prosleñivanje ka Banca Intesa ad Beograd CA svih zahteva za opozivom, suspenzijom i aktivacijom izdatih sertifikata u skladu sa Banca Intesa ad Beograd CA procedurama, CP i ovim CPS.

Banca Intesa ad Beograd RA je odgovorno za izvršavanje gore navedenih obaveza.

1.4.3 Korisnici

Korisnici sertifikacionih usluga Banca Intesa Beograd CA su:

� fizička lica (pojedinci)

� pravna lica (kompanije)

� informacioni resursi


20

Korisnici su strane koje:

� Apliciraju za dobijanje sertifikata,

� Identifikovani su kao vlasnici sertifikata u samom sertifikatu,

� Poseduju privatni ključ koji matematički odgovara javnom ključu koji je naveden u korisnikovom sertifikatu.

1.4.3.1 Obaveze korisnika elektronskih sertifikata izdatih od strane Banca Intesa Beograd CA

Sem ako nije drugačije definisano u CP i ovim CPS, korisnici sertifikacionih usluga Banca Intesa ad Beograd CA su odgovorni za:

� Posedovanje odgovarajućih znanja i, ako je neophodno, pohañanje odgovarajuće obuke za korišćenje elektronskih sertifikata i sertifikacionih usluga.

� Poštovanje Politike sertifikacije (CP) i Praktičnih pravila rada (CPS) publikovanih od strane Banca Intesa ad Beograd CA.

� Obezbeñivanje korektnih i preciznih informacija u njihovoj komunikaciji sa Banca Intesa ad Beograd RA i/ili CA.

� Upoznavanje, razumevanje i saglasnost sa svim stavovima i uslovima u CP i ovim CPS, kao i drugim dokumentima koji su objavljeni na Banca Intesa ad Beograd CA repozitorijumu.

� Uzdržavanje od narušavanja integriteta i proizvoñenja neispravnim sertifikata izdatog od strane Banca Intesa ad Beograd CA.

� Korišćenje sertifikata samo za legalne i autorizovane svrhe u skladu sa CP i ovim CPS, kao i važećim zakonskim dokumentima.

� Obaveštavanje Banca Intesa ad Beograd CA ili RA o bilo kojim promenama informacija koje su ranije dostavljene.

� Prekid korišćenja izdatog sertifikata od strane Banca Intesa ad Beograd CA ukoliko je bilo koja informacija u sertifikatu postala nevalidna.

� Prekid korišćenja izdatog sertifikata od strane Banca Intesa ad Beograd CA ukoliko sam sertifikat postane nevalidan.

� Odstranjivanje serverskog sertifikata koji je nevalidan iz bilo koje aplikacije i/ili bilo kog ureñaja gde je bio instaliran.

� Korišćenje samo jednog sertifikata za elektronski potpis u datom trenutku.

� Uzdržanje od korišćenja svog privatnog ključa koji odgovara javnom ključu koji je sertifikovan (u izdatom sertifikatu) od strane Banca Intesa ad Beograd CA za potrebe izdavanja drugih sertifikata od strane drugih CA.

� Razumno korišćenje izdatog sertifikata od Banca Intesa ad Beograd CA pod različitim okolnostima.


21

� Sprečavanje kompromitacije, gubljenja, objavljivanja, modifikacije ili bilo kog drugog neautorizovanog korišćenja svog privatnog ključa.

� Korišćenje bezbednih ureñaja i proizvoda koji obezbeñuju odgovarajuću zaštitu privatnih ključeva.

� Za bilo koje aktivnosti i propuste partnera ili agenata u smislu generisanja, zadržavanja, odlaganja, ili uništavanja bilo kog privatnog ključa.

� Uzdržavanje od dostavljanja do Banca Intesa ad Beograd CA, ili bilo kog Banca Intesa ad Beograd CA direktorijuma, bilo kakvog materijala koji sadrži stavove koji ugrožavaju bilo koji zakon ili bilo koje pravo bilo koje strane.

� Zahtevanje opoziva sertifikata u slučaju dogañaja koji materijalno utiče na integritet izdatog sertifikata od strane Banca Intesa ad Beograd CA.

� Prijavljivanje svake moguće zloupotrebe svog privatnog ključa i zahtevanje da se sertifikat opozove u tom slučaju.

1.4.4 Treće strane

Treće strane su entiteti, kao na primer fizička lica (pojedinci) i/ili pravna lica (kompanije), koja prihvataju sertifikate i verifikuju elektronski potpis odreñenih elektronskih dokumenata koji su potpisani od strane korisnika Banca Intesa Beograd CA, kao i koja vrše validaciju sertifikata izdatih od strane Banca Intesa Beograd CA. Verifikacija digitalnog potpisa se vrši na bazi javnog ključa koji se nalazi u korisnikovom sertifikatu. U cilju provere validnosti primenjenog elektronskog sertifikata, treće strane moraju uvek da provere status povučenosti datog sertifikata u okviru Banca Intesa Beograd CA CRL liste pre nego što prihvate informacije koje su navedene u sertifikatu.

1.4.4.1 Obaveze tre ćih strana

Strana koja se oslanja na izdati sertifikat od strane Banca Intesa ad Beograd CA obavezna je da:

� Poseduje odgovarajuća znanja o korišćenju elektronskih sertifikata i drugih tehnologija vezanih za usluge sertifikacije.

� Upozna se sa Politikom sertifikacije (CP) i ovim Praktičnim pravilima rada (CPS) u vezi navedenih uslova koji važe za treće strane.

� Poštuje i sprovodi odredbe iz CP i ovih CPS.

� Verifikuje izdati sertifikat od strane Banca Intesa ad Beograd CA primenom: provere validnosti sertifikata, provere CA koje je izdalo sertifikat, provere elektronskog potpisa sertifikata i provere statusa datog sertifikata u važećoj CRL listi (Banca Intesa ad Beograd CA CRL) a u skladu sa procedurom validacije sertifikata i kompletnog lanca sertifikata.


22

� Proveri kompletnost podataka u sertifikatu izdatom od strane Banca Intesa ad Beograd CA, kao i da proveri da li dati sertifikat služi odgovarajućoj oblasti primene koja je navedena u sertifikatu.

� Veruje u izdati sertifikat od strane Banca Intesa ad Beograd CA samo ukoliko se sve informacije koje se odnose na takav sertifikat mogu verifikovati da su korektne i ažurne.

� Razumno osloni i pouzda na izdati sertifikat od strane Banca Intesa ad Beograd CA u skladu sa odgovarajućim okolnostima.

1.4.5 Drugi u česnici

1.4.5.1 Obaveze vezane za repozitorijum koji održav a Banca Intesa ad Beograd CA

Strane u komunikaciji (uključujući korisnike i treće strane) koje pristupaju Banca Intesa ad Beograd CA repozitorijumu i web sajtu Banca Intesa ad Beograd CA u potpunosti su saglasne sa odredbama CP i ovih CPS, kao i sa bilo kojim drugim uslovima korišćenja koje je Banca Intesa ad Beograd CA moglo učiniti dostupnim. Strane u komunikaciji demonstriraju prihvatanje uslova korišćenja navedenih u CP i ovim CPS dostavljanjem upita vezanih za status elektronskih sertifikata ili bilo kojim drugim načinom koji pokazuje korišćenje ili oslanjanje na obezbeñene informacije ili usluge. Banca Intesa ad Beograd CA repozitorijum uključuje, obezbeñuje ili sadrži:

� Javnu dostupnost svih svojih sertifikata (root CA i intermediate CA sertifikati).

� Javnu dostupnost važeće liste opozvanih sertifikata (CRL).

� Informacije publikovane na Banca Intesa ad Beograd CA web sajtu (CP, CPS, korisnički ugovor, itd.).

� Bilo koje druge usluge koje Banca Intesa ad Beograd CA može reklamirati ili obezbediti putem svog web sajta.

Banca Intesa ad Beograd CA čini sve u svojoj moći u cilju osiguranja da strane koje pristupaju njegovom repozitorijumu dobijaju pouzdane, ažurne i tačne informacije. Banca Intesa ad Beograd CA, meñutim, ne može prihvatiti bilo kakvu odgovornost koja je van ograničenja definisanih u CP i ovim CPS.

1.4.6 Ispravno koriš ćenje sertifikata

Banca Intesa Beograd CA sertifikati se mogu koristiti za većinu transakcija elektronskog poslovanja i elektronskog bankarstva koje se baziraju na upotrebi elektronskih sertifikata.


23

U takve transakcije spadaju:

� Transakcije elektronskog bankarstva pravnih lica – kompanija,

� Bankarske transakcije grañana – home banking,

� Elektronska pošta,

� Elektronski ugovori,

� Pristup bezbednim web sajtovima (SSL autentifikacija) i drugim on-line sadržajima,

� Elektronsko potpisivanje dokumenata u elektronskom obliku,

� Šifrovanje i dešifrovanje dokumenata u elektronskom obliku, itd.

� Elektronska arhiva.

1.4.7 Zabranjeno koriš ćenje sertifikata

Ovo poglavlje nije primenljivo u okviru ovih CPS.

1.5 Administracija Prakti čnih pravila rada Banca Intesa ad Beograd CA

U ovom poglavlju su opisane aktivnosti u vezi administracije ovih Praktičnih pravila rada (CPS) Banca Intesa ad Beograd CA.

1.5.1 Organizacija administriranja Prakti čnih pravila rada

Banca Intesa ad Beograd CA je odgovorno za propisnu administraciju ovih CPS, i to u smislu periodičnog pregleda i ažuriranja, kao i vanrednih promena odgovarajućih odredbi koje proističu iz eventualnih promena u zakonskoj regulativi ili tehničkim karakteristikama primenjenih kriptografskih algoritama i dužina ključeva.

1.5.2 Kontaktni detalji

Banca Intesa Beograd CA ima registrovane kancelarije na sledećoj adresi:

Banca Intesa Beograd CA Banca Intesa ad Beograd Bulevar Milutina Milankovića 1c 11070 Novi Beograd Srbija


24

1.5.3 Osoba koja odre ñuje pogodnost CPS dokumenta

Osoba u Banca Intesa Beograd CA, odgovorna da su ova Praktična pravila rada (CPS) u saglasnosti sa Politikom sertifikacije (CP), koja je takoñe publikovana od strane Banca Intesa ad Beograd CA, je:

Miloš Kilibarda, Direktor Sektor za Bezbednost Banca Intesa ad Beograd Bulevar Milutina Milankovi ća 1c 11070 Novi Beograd Srbija

1.5.4 Procedura odobravanja CPS dokumenta

Dokument Praktična pravila rada (CPS) Banca Intesa Beograd CA se redovno periodično pregleda i po potrebi ažurira. Internom procedurom se definiše period pregleda ove CPS a koji ne može biti reñi od jednom u toku kalendarske godine. Prema datoj internoj proceduri, CPS se može evaluirati i po potrebi ažurirati i češće nego jednom godišnje ukoliko se steknu uslovi za to. Takvi uslovi se odnose, izmeñu ostalog na vanredne promene u zakonskoj regulativi ili odgovarajuća saznanja o kritičnim slabostima primenjenih kriptografskih algoritama i dužina kriptografskih ključeva.

1.6 Definicije i skra ćenice

U ovom dokumentu pojedini izrazi imaju sledeće značenje: Aktivacioni podaci – Podaci, koji nisu ključevi, koji su zahtevani u cilju rada kriptografskih modula i koji moraju biti zaštićeni (kao na primer PIN, passphrase, ili komponente pri manuelnom razmenjivanju ključeva). CA sertifikat – Sertifikat za dato CA izdat (digitalno potpisan) od strane drugog CA (ukoliko se radi o Intermediate CA) ili samopotpisan (ukoliko se radi o root CA). Politika sertifikacije – Imenovan skup pravila koji indicira primenljivost sertifikata na odreñeno okruženje i/ili na klasu aplikacija sa zajedničkim bezbednosnim zahtevima. Lanac (put) sertifikata – Ureñena sekvenca sertifikata koja se, zajedno sa javnim ključem inicijalnog objekta u lancu (putu), procesira u cilju provere istog u poslednjem objektu na putu. Certificate Practice Statement (CPS) – Praktična pravila i procedure koje sertifikaciono telo primenjuje u proceduri izdavanja sertifikata i koja, zajedno sa Politikom sertifikacije, predstavljaju javni dokument.


25

Sertifikaciono telo – izdava č sertifikata (issuing CA) – U kontekstu odreñenog sertifikata, sertifikaciono telo – izdavalac sertifikata je ono CA koje je izdalo (digitalno potpisalo) sertifikat. Kvalifikator politike – Informacija koja zavisi od politike sertifikacije i koja je pridružena identifikatoru politike sertifikacije u okviru X.509 sertifikata. Ta ekstenzija može da uključi i URL na kome se nalazi publikovan CPS datog sertifikacionog tela. Registraciono telo (RA) – Entitet koji je odgovoran za identifikaciju i autentifikaciju/registraciju korisnika/vlasnika sertifikata, kao i kreiranje zahteva za izdavanje sertifikata, ali koji ne izdaje i ne potpisuje sertifikat (tj. RA vrši odgovarajuće poslove (identifikaciju korisnika) i u tom smislu je delegirano od CA). Često se i termin LRA (Local Registration Authority) koristi u istom kontekstu. Treća strana – Primalac sertifikata koji proverava dati sertifikat i/ili proverava digitalni potpis dobijenog elektronskog dokumenta primenom javnog ključa potpisnika iz sertifikata. Treća strana proverava validnost sertifikata u istom procesu. Treća strana može biti takoñe korisnik sertifikata izdatog od strane istog sertifikacionog tela ali i ne mora. Elektronski dokument – dokument u elektronskom obliku koji se koristi u pravnim poslovima i drugim pravnim radnjama, kao i u upravnom, sudskom i drugom postupku pred državnim organom. Elektronski potpis – skup podataka u elektronskom obliku koji su pridruženi ili su logički povezani sa elektronskim dokumentom i koji služe za identifikaciju potpisnika. Kvalifikovani elektronski potpis – Elektronski potpis koji se kreira primenom sredstva za kreiranje kvalifikovanog elektronskog potpisa (SSCD – Secure Signature Creation Device) i koji se proverava putem kvalifikovanog elektronskog sertifikata potpisnika. Ovaj potpis je pravno ekvivalentan svojeručnom potpisu po Zakonu o elektronskom potpisu. Potpisnik – lice koje poseduje sredstva za elektronsko potpisivanje i vrši elektronsko potpisivanje u svoje ime ili u ime pravnog ili fizičkog lica. Podaci za formiranje elektronskog potpisa – jedinstveni podaci, kao što su kodovi ili privatni kriptografski ključevi, koje potpisnik koristi za izradu elektronskog potpisa. Sredstva za formiranje elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja se koriste za formiranje elektronskog potpisa, uz korišćenje podataka za formiranje elektronskog potpisa. Sredstva za formiranje kvalifikovanog elektronskog potpisa – sredstva za formiranje elektronskog potpisa koja ispunjavaju dodatne uslove utvrñene Zakonom o elektronskom potpisu.


26

Podaci za proveru elektronskog potpisa – podaci, kao što su kodovi ili javni kriptografski ključevi, koji se koriste za proveru elektronskog potpisa. Sredstva za proveru elektronskog potpisa – odgovarajuća tehnička sredstva (softver i hardver) koja služe za proveru elektronskog potpisa, uz korišćenje podataka za proveru elektronskog potpisa. Sredstva za proveru kvalifikovanog elektronskog pot pisa – sredstva za proveru elektronskog potpisa koja ispunjavaju dodatne uslove utvrñene Zakonom o elektronskom potpisu. Elektronski sertifikat – elektronski dokument kojim se potvrñuje veza izmeñu podataka za proveru elektronskog potpisa i identiteta potpisnika. Kvalifikovani elektronski sertifikat – elektronski sertifikat koji je izdat od strane sertifikacionog tela za izdavanje kvalifikovanih elektronskih sertifikata i sadrži podatke predviñene Zakonom o elektronskom potpisu. Korisnik – pravno lice, preduzetnik, državni organ, organ teritorijalne autonomije, organ lokalne samouprave ili fizičko lice kome se izdaje elektronski sertifikat. Sertifikaciono telo – pravno lice koje izdaje elektronske sertifikate u skladu sa odredbama Zakona o elektronskom potpisu. Akreditacija – Formalna deklaracija od strane nadležnog autoriteta da izvesne funkcije/entiteti zadovoljavaju specifične formalne zahteve. Aplikacija za sertifikat – Zahtev poslat od strane korisnika koji zahteva sertifikat (aplikant) ka Sertifikacionom telu u cilju izdavanja elektronskog sertifikata. Arhiva – Specifična baza podataka za čuvanje zapisa za odreñeni period vremena u cilju bezbednosti, backup-a ili revizije. Identifikacija – proces utvrñivanja identiteta pojedinca ili organizacije. U kontekstu PKI sistema, identifikacija se odnosi na proces utvrñivanja da dato ime pojedinca ili organizacije odgovara realnom identitetu pojedinca ili organizacije.

Autentifikacija – proces utvrñivanja da je identifikovani pojedinac ili organizacija koji se prijavljuje za odreñeni servis pod datim imenom u stvari baš taj (pod tim imenom) pojedinac ili organizacija. Drugim rečima, autentifikacija predstavlja proceduru bezbednog logičkog predstavljanja korisnika, tj. utvrñivanja njegovog elektronskog identiteta, odgovarajućoj aplikaciji ili servisu. Autorizacija – procedura utvrñivanja prava koje neki identifikovani i autentifikovani korisnik ima za korišćenje odgovarajuće aplikacije ili servisa. Ekstenzije u sertifikatu – Dodatna polja u sertifikatu, pored osnovnih, koja daju bliže informacije o vlasniku (korisniku) i izdavaocu (CA) sertifikata, itd.


27

Hijerarhija sertifikata – Sekvenca sertifikata bazirana na nivoima koja ima jedan root CA sertifikat i subordinate/intermediate entitete, kao što su sertifikati drugih CA i korisnici. Upravljanje sertifikatima – Aktivnosti pridružene upravljanju sertifikatima uključuju izdavanje, čuvanje, isporuku, objavljivanje i povlačenje sertifikata. Lista povu čenih sertifikata (CRL – Certificate Revocation List ) – Lista izdata i elektronski potpisana od strane CA koja uključuje povučene sertifikate, kao i razloge njihovog povlačenja. Takva lista se mora koristiti od strane trećih strana uvek kada treba proveriti validnost sertifikata i/ili verifikaciju elektronskog potpisa. Serijski broj sertifikata – Sekvencijalni ili slučajni broj koji jedinstveno identifikuje sertifikat u domenu datog CA. Zahtev za dobijanje sertifikata (CSR – Sertificate Service Request) – Standardna forma (po PKCS#10 preporuci) koja se koristi za slanje zahteva za dobijanjem sertifikata. Sertifikacija – Proces izdavanja elektronskog sertifikata. Asimetri čni par klju čeva (key pair) – Privatni ključ i javni ključ, kao matematički par koji se koriste za potrebe rada asimetričnog kriptografskog algoritma, kao što je na primer RSA algoritam. Privatni klju č – Matematički kod koji se koristi kao ključ za kreiranje elektronskog potpisa i za raspakivanje digitalne envelope – dešifrovanje simetričnog ključa primenom asimetričnog kriptografskog algoritma. Simetrični ključ je korišćen u simetričnom kriptografskom algoritmu za šifrovanje dokumenta za datog korisnika. Javni klju č – Matematički kod koji može biti javno objavljen (najčešće se objavljuje u okviru X.509v3 elektronskog sertifikata) i koji se koristi za verifikaciju elektronskog potpisa, kreiranog pomoću odgovarajućeg privatnog ključa koji je matematički par sa datim javnim ključem, kao i za šifrovanje simetričnog ključa/podataka za korisnika koji poseduje odgovarajući privatni ključ. Šifrovanje – transformacija koja, primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa, pretvara originalnu informaciju u oblik koji se ne može koristiti (šifrat). Dešifrovanje – transformacija kojom se iz šifrata dobija originalna informacija primenom odgovarajućeg kriptografskog algoritma i odgovarajućeg kriptografskog ključa. Kriptografija – nauka o primeni algoritama za zaštitu tajnosti informacija.


28

Kriptografski algoritmi – algoritmi po kojima se vrši transformacija originalne informacije u šifrovanu informaciju (šifrat) i obratno, iz šifrata u originalnu infomaciju, korišćenjem odgovarajućeg kriptografskog ključa. Kriptografski klju č – tajna i slučajna informacija odgovarajuće dužine u bitovima (na primer 128 ili 256 bita) koja se koristi u kriptografskim algoritmima, u procedurama šifrovanja i dešifrovanja. Simetri čni kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju šifrovanja u cilju zaštite tajnosti informacija. Algoritmi se nazivaju simetričnim zato što se isti kriptografski ključ koristi za šifrovanje i za dešifrovanje. Asimetri čni kriptografski algoritmi – kriptografski algoritmi koji se koriste za realizaciju tehnologije digitalnog potpisa kojim se obezbeñuje: autentičnost, integritet i neporecivost transakcija. Algoritmi se nazivaju asimetričnim zato što se različiti kriptografski ključevi koriste za šifrovanje i za dešifrovanje. Asimetrični kriptografski algoritam koristi par ključeva, javni i privatni, i to javni u postupku šifrovanja i privatni u postupku dešifrovanja. Hash algoritmi – jednosmerni kriptografski algoritmi pomoću kojih se vrši kriptografska transformacija informacije proizvoljne veličine u hash vrednost fiksne veličine (160, 224, 256, 384 ili 512 bitova). Identifikator objekta (Object identifier) – Sekvenca intedžerskih komponenti koja može biti pridružena nekom registrovanom objektu i koja ima karakteristiku da je jedinstvena u svim identifikatorima objekata u okviru specifičnog domena. Repozitorijum – Baza podataka i/ili direktorijum na kome su publikovani osnovni dokumenti rada CA, kao i eventualne druge informacije koje se odnose na pružanje sertifikacionih usluga od strane datog CA (kao na primer publikacija svih izdatih sertifikata ukoliko je to dozvoljeno prema Politici sertifikacije i ukoliko su korisnici dali saglasnost za to, itd.). Povla čenje sertifikata – Permanentno ukidanje validnosti datog sertifikata i njegovo smeštanje na CRL listu. Deljena tajna – Deo kriptografske tajne koja je podeljena na unapred definisan broj fizičkih tokena, kao na primer smart kartica. Smart kartica – Hardverski token koji sadrži čip na kome može da se izvrše odgovarajuće kriptografske funkcije, kao što su: elektronski potpis, šifrovanje, generisanje para asimetričnih ključeva, itd. Korisni čki ugovor – Ugovor izmeñu korisnika i CA u cilju obezbeñenja sertifikacionih usluga. Skraćenice koje se koriste u ovom dokumentu:


29

CA – Certification Authority BIB, Banka – Banca Intesa ad Beograd RA – Registration Authority PKI – Public Key Infrastructure OID – Object IDentifier TSA – Time Stamping Authority CRL – Certificate Revocation List CSR – Certificate Service Request CDP – CRL Distribution Point AIA – Authority Information Access AKI – Authority Key Identifier SKI – Subject Key Identifier RFC – Request For Comments ETSI – European Telecommunication Standardization Institute CP – Certificate Policy CPS – Certificate Practise Statement URL – Uniform Resource Locator


30

2. Objavljivanje i repozitorijumi

Ovo poglavlje se odnosi na neke aspekte publikovanja informacija, kao i na lokacije gde se te informacije publikuju, u okviru Banca Intesa ad Beograd CA.

2.1 Repozitorijumi

Banca Intesa Beograd CA objavljuje informacije u vezi elektronskih sertifikata koje izdaje na on-line repozitorijumu. Banca Intesa Beograd CA zadržava pravo da publikuje statusne informacije o sertifikatima i na repozitorijumu neke treće strane ukoliko je to pogodno. Banca Intesa Beograd CA ima on-line repozitorijum dokumenata u kojima se objavljuju informacije o praktičnim pravilima i politikama rada, uključujući ovaj CPS dokument kao i CP dokumente. Banca Intesa Beograd CA zadržava pravo da učini raspoloživim i publikuje informacije u vezi sopstvenih politika i procedura rada putem bilo kog pogodnog načina.

2.2 Publikovanje informacija o sertifikatima

Participanti u sertifikacionim uslugama se obaveštavaju da će Banca Intesa Beograd CA možda publikovati informacije koje su oni dostavili, i ukoliko su dali saglasnost za objavljivanje, na javno pristupačnim direktorijumima uz pridružene statusne informacije o elektronskim sertifikatima. Banca Intesa ad Beograd CA publikuje informacije o sertifikatima na prethodno pomenutim repozitorijumima, i to:

� Sertifikate Banca Intesa ad Beograd CA (Root i intermediate CA sertifikate),

� Osnovne dokumente rada Banca Intesa ad Beograd CA (CP, ovaj CPS dokument; standardne forme aplikacija za dobijanje sertifikata, standardne korisničke ugovore, itd.).

Iz razloga njihove osetljvosti i poslovne tajne, Banca Intesa ad Beograd CA neće publikovati interna pravila rada koja se odnose na izvesne podkomponente i elemente koji uključuju izvesne bezbednosne kontrole, procedure koje se odnose na upravljanje ključevima, distribuiranu odgovornost, bezbednost registraciona tela, root signing proceduru i sve ostale bezbednosno osetljive procedure.


31

2.3 Vreme i frekvencija publikovanja

Banca Intesa Beograd CA publikuje statusne informacije o povučenosti digitalnih sertifikata u odreñenim intervalima, u okviru CRL, periodično u tačno odreñenim intervalima kako je to naznačeno u ovom CPS dokumentu.

2.4 Kontrole pristupa repozitorijumima

Sve informacije objavljene u online repozitorijumu Banca Intesa ad Beograd CA su dostupne preko Interneta svim zainteresovanim stranama, bez ograničenja. Banca Intesa Beograd CA održava raspoloživim pristup do svog javnog repozitorijuma trećim stranama sa svrhom validacije izdatih sertifikata, kao i samog Banca Intesa Beograd CA sertifikata. Drugim rečima, Banca Intesa Beograd CA održava potpuno raspoloživim pristup do svog javnog repozitorijuma trećim stranama sa svrhom:

� Dobavljanja CA sertifikata Banca Intesa Beograd CA,

� Dobavljanja CRL liste Banca Intesa Beograd CA u cilju validacije sertifikata izdatog od strane Banca Intesa Beograd CA,

Banca Intesa Beograd CA može ograničiti ili zabraniti pristup odreñenim uslugama, kao što su publikovanje statusnih informacija o bazama podataka treće strane, odreñenim privatnim direktorijumima, itd. Iako je pristup Banca Intesa Beograd CA repozitorijumu i direktorijumima besplatan, Banca Intesa Beograd CA zadržava pravo da naplaćuje odreñena specifična korišćenja svojih servisa.


32

3. Identifikacija i autentifikacija korisnika

Banca Intesa Beograd CA održava dokumentovana praktična pravila i procedure u cilju autentifikacije identiteta i/ili drugih atributa aplikanata/krajnjih korisnika Banca Intesa Beograd CA sertifikata a što se izvršava pre samog izdavanja sertifikata. Banca Intesa Beograd CA koristi potvrñene procedure u cilju prihvatanja aplikacija od entiteta koji žele da postanu članovi Banca Intesa Beograd CA PKI hijerarhije. Banca Intesa Beograd CA autentifikuje zahteve strana koje žele da povuku sertifikate u skladu sa ovim CPS dokumentom. Banca Intesa Beograd CA održava odgovarajuće procedure u cilju odreñivanja praktičnih pravila za dodeljivanje imena, uključujući i prepoznavanje “trademark” prava u izvesnim imenima.

3.1 Nazivi

3.1.1 Tipovi imena

U cilju identifikacije korisnika, Banca Intesa Beograd CA sprovodi odgovarajuća pravila dodeljivanja imena i identifikacije koja uključuje tipove imena pridruženih subjektu, kao na primer X.500 “distinguished” imena.

3.1.2 Potreba da imena budu sa realnim zna čenjem

Kada aplicira za Banca Intesa Beograd CA sertifikat, ime aplikanta mora biti u potpunosti sa odgovarajućim značenjem sem ako to nije eksplicitno dozvoljeno u relevantnom proizvodnom opisu i u ovom Banca Intesa Beograd CA CPS dokumentu. Banca Intesa Beograd CA izdaje sertifikate aplikantima koji dostavljaju dokumentovane aplikacije koje sadrže ime koje se može verifikovati. Izvesni tipovi sertifikata, kao što su sertifikati izdati u skladu sa Evropskom direktivom 1999/93/EC mogu, meñutim, biti izdati uz korišćenje pseudonima koji je povezan sa pravim imenom koje Banca Intesa Beograd CA čuva u svojoj arhivi.

3.1.3 Anonimnost korisnika

Banca Intesa Beograd CA u principu ne izdaje anonimne sertifikate korisnicima. Izuzetno, prilikom izdavanja sertifikata za firzička lica na mini CD medijumu, ti sertifikata su generički (anonimni) prilikom generisanja. Prilikom uručenja, dati


33

sertifikati se upisuju u profil datog korisnika u home banking bazi korisnika čime na odreñeni način prestaje njihova anonimnost.

3.1.4 Pravila za interpretaciju razli čitih formi imena


3.1.5 Jedinstvenost imena

Imena pridružena korisnicima sertifikata su jedinstvena u domenu Banca Intesa Beograd CA pošto se uvek koriste zajedno sa jedinstvenim identifikacionim brojem datog profila korisnika (Serial Number polje u Dname polju korisnika).

3.1.6 Prepoznavanje, autentikacija i uloga robnih m arki („trademarks“)

Banca Intesa Beograd CA ne prihvata “trademark” oznake, loga ili drugi grafički ili tekstualni materijal koji je zaštićen od kopiranja a uključen je u njegove sertifikate.

3.2 Inicijalna provera identiteta

U cilju realizacije procedure identifikacije i autentifikacije za inicijalnu korisnikovu registraciju za svaki tip subjekta (CA, RA, korisnici ili drugi učesnici) Banca Intesa Beograd CA sprovodi sledeće korake:

� (Opciono) Korisnik identifikovan u polju subjekta mora dokazati posedovanje asimetričnog privatnog ključa koji odgovara javnom ključu koji treba da bude sertifikovan od strane Banca Intesa Beograd CA. Takav odnos može biti dokazan na primer putem elektronskog potpisa u zahtevu za izdavanjem sertifikata (PKCS#10 samopotpisani zahtev).

� Zahtevi Banca Intesa Beograd CA u smislu identifikacije i autentifikacije organizacija koje su aplicirale za Banca Intesa Beograd CA sertifikate, uključuju ali nisu ograničene na konsultovanje odreñenih baza podataka treće strane koje jednoznačno identifikuju organizaciju ili proverom dokumenata o udruživanju date organizacije.

� Organizacije koje apliciraju za Banca Intesa Beograd CA sertifikate uključuju ali nisu ograničene na druge CA (treće strane), RA, korisnike pravna lica (u slučaju da su sertifikati izdati samim organizacijama ili informacionim resursima kontrolisanim od strane te organizacije), ili druge kompanijske korisnike.


34

3.2.1 Autentikacija identiteta organizacije

U cilju identifikacije i autentifikacije za izdavanje sertifikata individualnoj organizaciji – pravnom licu koje aplicira za Banca Intesa Beograd CA sertifikat (CA, RA, korisnici (u slučaju sertifikata izdatih organizacijama ili informacionim resursima kontrolisanim od strane organizacije) ili drugi učesnici), Banca Intesa Beograd CA može primeniti korake koji uključuju ali nisu ograničeni na:

� Provera dokumenata kao što su identifikacione kartice, pasoš, vozačka dozvola za ovlašćeno fizičko lice datog pravnog lica.

� Utvrñivanje identiteta organizacije na bazi dostavljene dokumentacije.

� Zahtev je da se pojedinac, ovlašćeno lice, fizički pojavi u Banca Intesa Beograd RA u odgovarajućoj fazi pre nego što se sertifikat izda.

� Primenu dodatnih zahteva za organizaciju aplikanta kao što su potpisani autorizacioni dokumenti (ovlašćenja) ili neka druga identifikaciona oznaka organizacije.

Kada Banca Intesa Beograd CA pri izdavanju sertifikata uključuje informacije o odgovarajućim ovlašćenjima. kao što su specifična prava ili dozvole, uključujući dozvolu za dobijanje sertifikata u cilju realizacije odgovarajućih aktivnosti u ime date organizacije, Banca Intesa Beograd CA može zahtevati specijalnu pismenu dozvolu od strane date organizacije.

3.2.2 Autentikacija identiteta pojedinca

U cilju identifikacije i autentikacije individualnog korisnika koji aplicira za dobijanje Banca Intesa ad Beograd CA sertifikata, CA može primeniti korake koji uključuju ali nisu ograničeni na:

� Provera dokumenata kao što su identifikacione kartice, pasoš, vozačka dozvola, u skladu sa važećim zakonom.

� Utvrñivanje identiteta datog pojedinca koja se bazira na dostavljenoj dokumentaciji.

� Zahtev je da se pojedinac fizički pojavi u BANCA INTESA AD BEOGRAD RA u odgovarajućoj fazi pre nego što se sertifikat izda.

3.2.3 Informacije korisnika koje se ne verifikuju



35

3.2.4 Validacija autoriteta

Kada Banca Intesa ad Beograd CA uključuje informaciju koja indicira odreñeni autoritet koji treba da se saglasi, kao što su specifična prava, ovlašćenja, ili dozvole uključujući dozvolu da realizuje odgovarajuće aktivnosti u ime date organizacije, za dobijanje kvalifikovanog sertifikata, Banca Intesa ad Beograd CA može zahtevati specijalnu pismenu dozvolu od strane date organizacije - autoriteta.

3.2.5 Kriterijumi za interoperabilnost


3.3 Identifikacija i autentifikacija zahteva za obn avljanje klju čeva


3.3.1 Identifikacija i autentikacija za rutinsko ob navljanje klju čeva


3.3.2 Identifikacija i autentikacija za obnavljanje klju čeva nakon opoziva


3.4 Identifikacija i autentifikacija zahteva za pov lačenje sertifikata

U cilju sprovoñenja procedura identifikacije i autentifikacije zahteva za povlačenjem sertifikata za odgovarajuće tipove subjekata (CA, RA, korisnici ili drugi učesnici), Banca Intesa Beograd CA zahteva:

� Lično podnošenje zahteva za povlačenjem u odgovarajućoj RA kancelariji Banca Intesa Beograd CA popunjavanjem odgovarajućeg formulara – na identičan način kao i u slučaju podnošenja zahteva za dobijanjem sertifikata,

� Korišćenje on-line autentifikacionog mehanizma (autentifikacija putem digitalnog sertifikata, PIN broja, autorizacionog koda, itd.) pri čemu se zahtevi upućuju odgovarajućem Banca Intesa Beograd RA ili putem web komunikacije do samog CA. Banca Intesa Beograd RA sprovodi takve zahteve do Banca Intesa Beograd CA u cilju realizacije procedure povlačenja sertifikata.


36

Jedan mogući način bezbednog dostavljanja zahteva za povlačenjem sertifikata su digitalno potpisani zahtevi od strane samih korisnika koji žele da im se povuče sertifikat ili od strane RA ili CA ovlašćenih službenika.


37

4. Operativni zahtevi u vezi životnog ciklusa sertifikata

Za sva intermediate sertifikaciona tela, registraciona tela, korisnike ili druge učesnike postoji stalna obaveza da informišu Banca Intesa Beograd CA o svim promenama u informacijama koje su objavljene u sertifikatu za čitav period operativnog rada takvog sertifikata. Odreñene druge obaveze se takoñe mogu dodatno primeniti.

4.1 Aplikacija za dobijanje sertifikata

4.1.1 Ko može da dostavi aplikaciju za izdavanje se rtifikata?

Aplikanti koji podnose zahtev za dobijanje sertifikata odgovorni su za dostavljanje pouzdanih informacija u njihovim aplikacijama. Što se tiče aplikacije za izdavanje korisnikovog sertifikata, Banca Intesa Beograd CA zahteva da aplikant korisnik bude ili taj pojedinac ili njegov pravni predstavnik koji će podneti aplikaciju za sertifikat. Zahtev za izdavanje sertifikata od strane Banca Intesa ad Beograd CA može da podnese svako ko ispunjava sledeće uslove:

� Korisnik mora biti prihvatljiv krajnji korisnik Banca Intesa ad Beograd kako to definiše politika sertifikacije i ovaj CPS dokument.

� Zahtev koji predaje korisnik mora da u sebi sadrži sve neophodne podatke, uključujući dovoljno podataka da korisnik može da bude identifikovan na jedinstven način.

4.1.2 Proces dostavljanja zahteva za izdavanjem ser tifikata (enrollment) i pridružene odgovornosti

Korisnici sprovode enrolment proces (proces identifikacije i registracije) sa Banca Intesa Beograd CA, RA ili odgovarajućim partnerom pod ugovorom koji zahteva:

� Popunjavanje aplikacione forme.

� Generisanje asimetričnog para ključeva (ova operacija se može izvršiti kod korisnika ili u samom CA).

� Isporuku generisanog javnog ključa, koji odgovara privatnom ključu iz asimetričnog para ključeva, do Banca Intesa Beograd CA na sertifikaciju.


38

� Demonstriranje Banca Intesa Beograd CA sertifikacionom telu da aplikant poseduje privatni ključ koji odgovara javnom ključu koji je dostavio do Banca Intesa Beograd CA.

� Prihvatanje korisničkog ugovora.

4.2 Procesiranje aplikacije za dobijanje sertifikat a

4.2.1 Izvršavanje funkcije identifikacije i autenti fikacije korisnika

Nakon prijema aplikacije datog korisnika, Banca Intesa Beograd CA ili Banca Intesa Beograd RA vrše definisanu identifikacionu i autentifikacionu proceduru u cilju validacije aplikacije za izdavanje sertifikata.

4.2.2 Potvr ñivanje ili odbijanje aplikacije za dobijanje kvalifikovanog ertifikata korisnika

Nakon uspešne identifikacije i autentifikacije korisnika, Banca Intesa Beograd CA ili RA potvrñuju ili odbijaju aplikaciju za izdavanje sertifikata. Takvo potvrñivanje ili odbijanje ne mora neophodno da bude obrazloženo aplikantu ili bilo kojoj drugoj strani. Drugim rečima, nakon dostavljanja aplikacije za izdavanje sertifikata ili zahteva za obnavljanjem sertifikata, kao i nakon potvrñivanja dostavljenih informacija u aplikaciji za izdavanje sertifikata, Banca Intesa Beograd RA potvrñuje ili odbija dostavljene zahteve. Nakon potvrñivanja aplikacije za izdavanje sertifikata, Banca Intesa Beograd RA šalje zahtev za izdavanje sertifikata do Banca Intesa Beograd CA.

4.2.3 Potrebno vreme za procesiranje aplikacije kor isnika

Banca Intesa Beograd CA mora da izvrši sve identifikacione aktivnosti i procesira aplikaciju za izdavanje sertifikata u okviru vremenskog perioda od sedam (7) radnih dana od dobijanja validnog zahteva.


39

4.3 Izdavanje sertifikata

4.3.1 Aktivnosti CA tokom procesa izdavanja kvalifi kovanog sertifikata

Nakon dostave validnog zahteva korisnika za izdavanjem sertifikata, Banca Intesa Beograd CA sprovodi proces izdavanja odgovarajućeg sertifikata koji se sastoji od:

� Aktivnosti koje se sprovode od strane CA tokom procesa izdavanja, kao na primer procedura kada CA verifikuje digitalni potpis korisnika ili RA službenika na zahtevu i samo generisanje sertifikata.

� Mehanizama notifikacije koji se koriste od strane CA da bi se informisao korisnik o tome da mu je sertifikat izdat i da može da ga preuzme. U tom smislu, CA može da pošalje e-mailom izdati sertifikat korisniku, ili se može poslati informacija na koji način korisnik može download-ovati sertifikat sa repozitorijuma CA.

� Isporuke samog sertifikata korisniku, kao i ureñaja za generisanje digitalnog potpisa (smart kartica) na kome je izgenerisan asimetrični par ključeva, ukoliko je ta operacija izvršena u okviru CA tela.

4.3.2 Obaveštenje korisnika od strane CA o izdatom sertifikatu

Elektronski sertifikati se generišu u okviru Banca Intesa ad Beograd CA ili od strane samih korisnika. Ukoliko se generišu u okviru CA isti se uručuju lično korisnicima u okviru RA. Ukoliko korisnik generiše sam sertifikat, to radi na praznoj smart kartici koju je dobio prilikom registracije u RA. Ako se desi da zahtev bude odbijen korisnik će biti informisan o razlozima odbijanja koji su definisani u okviru CP i ovog CPS dokumenta.

4.4 Prihvatanje sertifikata

4.4.1 Sprovo ñenje procesa prihvatanja sertifikata

Izdati sertifikat od strane Banca Intesa Beograd CA smatra se prihvaćenim od strane korisnika ukoliko se bilo koji od dole navedenih uslova ispuni:

� Potvrda prijema svojeručnim potpisom na odgovarajućoj dostavnici,

� Potvrda prijema poslata elektronskm poštom od strane korisnika,


40

� Korišćenje standardne on-line forme uz odgovarajući elektronski potpis korisnika gde je to moguće primeniti,

� Korišćenje sertifikata prvi put uz odgovarajući elektronski potpis korisnika,

� Petnaest (15) dana nakon preuzimanja ukoliko korisnik ne javi da postoje bilo kakvi problemi u izdatom sertifikatu.

Bilo koja primedba na prihvatanje izdatog sertifikata mora biti eksplicitno dostavljena do Banca Intesa Beograd CA, kao sertifikacionom telu – izdavaocu. Potvrda odbijanja koja uključuje sva eventualna polja u sertifikatu koja sadrže pogrešne informacije mora takoñe biti dostavljena.

4.4.2 Objavljivanje sertifikata od strane CA

Izdati sertifikati se objavljuju na online repozitorijumu Banca Intesa ad Beograd CA.

4.4.3 Obaveštenje drugih entiteta o izdatom sertifi katu


4.5 Koriš ćenje sertifikata i asimetri čnog para klju ča

U ovom poglavlju se definišu odgovornosti koje se odnose na koriščenje asimetričnog para ključeva i sertifikata.

4.5.1 Koriš ćenje privatnog klju ča i sertifikata od strane korisnika

Odgovornosti korisnika – korisnik se obavezuje da će koristiti privatni ključ i izgenerisani sertifikat od strane Banca Intesa Beograd CA samo u predviñenim aplikacijama Banke (e-banking, web krediti, Broker assistance, itd.) koje su navedene u CP i u ovom CPS dokumentu, kao i u skladu sa definisanim načinom korišćenja ključa u samom sertifikatu (Key Usage i Enhanced Key Usage ekstenzije). Korišćenje privatnog ključa i sertifikata predstavlja deo korisnikovog ugovora sa CA. U tom smislu, korisnik može koristiti svoj privatni ključ samo nakon prihvatanja odgovarajućeg sertifikata. Takoñe, korisnik mora prestati da koristi svoj privatni ključ nakon isticanja perioda validnosti ili povlačenja izdatog sertifikata.

4.5.2 Koriš ćenje javnog klju ča i sertifikata od strane tre ćih strana

Odgovornost treće strane – treća strana je obavezna da prihvata izdate sertifikate Banca Intesa Beograd CA samo u onim aplikacijama koje su definisane u CP i u


41

ovom CPS dokumentu, kao i sa predviñenim načinom korišćenje sertifikata definisanom u samom sertifikatu. Treća strana je obavezna da propisno i uspešno primenjuje operaciju javnog ključa koji ekstrahuje iz izdatog sertifikata i odgovorna je da sprovodi proveru statusa povučenosti datog sertifikata korišćenjem metoda koji je definisan u CP i u ovom CPS dokumentu Banca Intesa Beograd CA.

4.6 Obnavljanje sertifikata

4.6.1 Uslovi za obnavljanje sertifikata

Obnavljanje sertifikata predstavlja proceduru izdavanja novog sertifikata korisniku bez promene javnog ključa korisnika, niti bilo kog drugog podatka koji se nalazi u postojećem sertifikatu, izuzev perioda validnosti.

4.6.2 Ko može zahtevati obnavljanje sertifikata

Obnovu vrši sam korisnik putem odgovarajućeg servisa u okviru web aplikacije Banca Intesa Beograd CA. Neophodno je da aplikacije koje koriste sertifikate obezbede servis upozorenja korisnika mesec dana pre isteka sertifikata da je sertifikat prišao kraju svog životnog veka i da ga treba obnoviti. Mogu se obnoviti samo validni sertifikati u okviru perioda mesec dana od isteka istog. Istekli sertifikati se ne mogu obnoviti već se tada mora generisati novi asimetrični par ključeva i novi sertifikat. Sertifikati izdati fizičkim licima na mini CD medijumu se ne obnavljaju.

4.6.3 Procesiranje zahteva za obnavljanjem sertifik ata

Sertifikaciono telo automatski obnavlja sertifikat, tj. automatski procesira dostavljeni zahtev i dostavlja obnovljeni sertifikat korisniku u cilju smeštanja na smart karticu (ukoliko je prvi sertifikat izdat na smart kartici). Autentifikacija korisnika u cilju obnove sertifikata se vrši na isti način kao i autentifikacija na samu aplikaciju – pomoću PIN-a i smart kartice (dvo-faktorska autentifikacija).


42

4.6.4 Obaveštenje korisnika da mu je izdat obnovlje ni sertifikat

Ova informacija se dostavlja korisniku samom informacijom da je sertifikat obnovljen uspešno.

4.6.5 Sprovo ñenje procesa prihvatanja obnovljenog sertifikata


4.6.6 Objavljivanje obnovljenog sertifikata od stra ne CA

Kao i u slučaju izdatih sertifikata, obnovljeni sertifikati se objavljuju na online repozitorijumu Banca Intesa ad Beograd CA.

4.6.7 Obaveštenje drugih entiteta od strane CA o ob novi datog sertifikata


4.7 Generisanje novog para klju čeva i sertifikata korisnika

4.7.1 Uslovi za generisanje novog para klju čeva i sertifikata

Uslovi za generisanje novog para ključeva korisnika su:

� Sertifikat datog korisnika je istekao ili

� Sertifikat datog korisnika je opozvan, a korisnik ima pravo da naknadno zatraži dobijanje novog sertifikata.

4.7.2 Ko može zahtevati novi sertifikat sa novim ja vnim klju čem

Svi korisnici koji zadovoljavaju uslove iz tačke 4.7.1.

4.7.3 Procesiranje zahteva za novim parom klju čeva i sertifikatom

Korisnici kojima je sertifikat istekao, ukoliko žele da dobiju novi sertifikat, moraju da podnesu zahtev za izdavanje sertifikata koji je isti kao i svaki novi zahtev za dobijanje sertifikata. U tom slučaju, generiše se novi par asimetričnih ključeva.


43

Takoñe, ukoliko je sertifikat korisnika povučen, a razlog za povlačenje je kompromitacija ključa, korisnik može dobiti novi sertifikat samo na osnovu generisanog novog para asimetričnih ključeva i putem procedure koja je identična dostavljanju zahteva za izdavanje novog sertifikata. Nakon dostavljanja zahteva za izdavanjem novog sertifikata, dalja procedura je u potpunosti identična kao i procedura za dobijanje prvog sertifikata.

4.7.4 Obaveštenje korisnika da mu je izdat novi ser tifikat

Ova procedure je identična proceduri izdavanja prvog sertifikata.

4.7.5 Sprovo ñenje procesa prihvatanja novog sertifikata

Ova procedure je identična proceduri prihvatanja prvog sertifikata.

4.7.6 Objavljivanje novog sertifikata od strane CA

Ova procedure je identična proceduri objavljivanja prvog sertifikata.

4.7.7 Obaveštenje drugih entiteta od strane CA o iz davanju novog sertifikata

Ova procedure je identična proceduri obaveštenja drugih entiteta o izdavanju prvog sertifikata od strane CA.

4.8 Modifikacije sertifikata korisnika

4.8.1 Uslovi za modifikaciju sertifikata korisnika


4.8.2 Ko može zahtevati modifikaciju sertifikata


4.8.3 Procesiranje zahteva za modifikacijom sertifi kata



44

4.8.4 Obaveštenje korisnika da mu je izdat novi mod ifikovani sertifikat


4.8.5 Sprovo ñenje procesa prihvatanja novog modifikovanog sertifikata


4.8.6 Objavljivanje novog modifikovanog sertifikata od strane CA


4.8.7 Obaveštenje drugih entiteta od strane CA o iz davanju novog modifikovanog sertifikata


4.9 Povla čenje i suspenzija sertifikata

4.9.1 Uslovi za povla čenje sertifikata korisnika

Nakon odgovarajućeg zahteva od strane Banca Intesa Beograd RA ili samog korisnika, Banca Intesa Beograd CA vrši povlačenje izdatog elektronskog sertifikata u slučaju:

� Gubitka, krañe, modifikacije, neautorizovanog objavljivanja ili neke druge kompromitacije privatnog ključa korisnika sertifikata.

� Da je subjekt sertifikata narušio materijalne obaveze koje su definisane ovom CP ili u CPS dokumentu.

� Da izvršenje odgovarajućih obaveza lica koja su navedena u ovom CPS dokumentu kasni ili je sprečeno usled prirodne katastrofe, računarskog ili komunikacionog otkaza, ili usled drugog uzroka koji izlazi van kontrole datog lica, i kao rezultat, informacije o drugom licu su materijalno ugrožene ili kompromitovane.

� Da se desila promena odreñenih informacija koje se sadrže u sertifikatu datog lica.


45

4.9.2 Ko može zahtevati povla čenje sertifikata

Povlačenje sertifikata datog korisnika može zahtevati sam korisnik, neki drugi ovlašćeni predstavnik pravnog lica u slučaju ako se radi o sertifikatima izdatim fizičkim licima koja zastupaju pravna lica ili ovlašćeni službenik Banca Intesa ad Beograd RA ili CA. Drugim rečima, zahtev za povlačenjem sertifikata može da podnese vlasnik sertifikata, nakon propisne autentikacije, ili odgovarajući službenik Banca Intesa ad Beograd CA ili RA, uz dokaz da je ispunjen jedan od uslova za opoziv sertifikata, naveden u 4.9.1.

4.9.3 Procedura zahteva za opozivom sertifikata

Ako se desi neki od gore pomenutih dogañaja, korisnik mora odmah da kontaktira Banca Intesa Beograd RA ili Banca Intesa Beograd CA u cilju dostavljanja zahteva za povlačenjem sertifikata. Pomenuti kontakt može biti on-line ili putem nekih drugih kanala. Banca Intesa Beograd CA povlači sertifikat promptno nakon verifikacije identiteta strane koja je zahtevala povlačenje (službenik Banca Intesa Beograd RA, CA ili sam korisnik) i potvrdom da je zahtev podnet u skladu sa procedurom zahtevanom u CP i u ovom CPS dokumentu. Zahtev za povlačenjem sertifikata odgovarajućem ovlašćenom licu nekog pravnog lica može podneti i zakonski zastupnik datog pravnog lica ukoliko iz bilo kog razloga prestaje potreba da navedeni ovlašćeni radnik poseduje sertifikat. Verifikacija identiteta može biti izvršena na osnovu informacionih elemenata koji su sadržani u identifikacionim podacima koje je korisnik dostavio do Banca Intesa Beograd RA. Nakon ispunjenja pomenutih uslova, Banca Intesa Beograd CA izvršava promptnu aktivnost u cilju povlačenja sertifikata. Konkretno u Banca Intesa ad Beograd CA, operaciju povlačenja korisničkih sertifikata vrše RA ili CA administrator koja podrazumeva sledeće akcije:

1. Upis serijskog broja sertifikata korisnika u listu povučenih sertifikata, kao i razloga povlačenja.

2. Promenu stanja sertifikata korisnika u online repozitorijumu na povučen.

4.9.4 Grace period zahteva za opozivm sertifikata



46

4.9.5 Vreme za koje CA mora da procesira zahtev za opozivm sertifikata

U toku jednog radnog dana.

4.9.6 Zahtevi za tre će strane u vezi provere statusa sertifikata

Treće strane moraju koristiti on-line resurse koje Banca Intesa Beograd CA čini raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele da se oslone. Lista povučenih sertifikata (CRL – Certificate Revocation List) Banca Intesa Beograd CA se ažurira na svakih 15 dana. Treće strane moraju biti u saglasnosti sa Banca Intesa Beograd CA politikom a posebno sa obavezama trećih strana publikovanim u CP ili ovom CPS dokumentu.

4.9.7 Frekvencija izdavanja CRL liste

Lista opozvanih sertifikata (CRL – Certificate Revocation List) Banca Intesa ad Beograd CA se ažurira na svakih 15 dana.

4.9.8 Maksimalno kašnjenje u izdavanju CRL liste


4.9.9 Raspoloživost procedure online provere status a sertifikata


4.9.10 Zahtevi online provere statusa sertifikata


4.9.11 Raspoloživost drugih formi objavljivanja sta tusa sertifikata


4.9.12 Specijalni zahtevi u odnosu na kompromitacij u privatnog klju ča



47

4.9.13 Uslovi za suspenziju sertifikata

Funkcija suspenzije Banca Intesa Beograd CA sertifikata je podržana. Suspenzija sertifikata se može izvršiti ukoliko je korisnik prekršio odgovarajuća pravila korišćenja sertifikata što za sobom povlači privremenu suspenziju rada ili korisnik ide na duže odsustvo i zna da neće koristiti sertifikat i svoj privatni ključ. Sertifikat se suspenduje u sledećim situacijama:

� Ako suspenziju sertifikata zahteva vlasnik sertifikata, neki drugi ovlašćeni predstavnik pravnog lica ako je sertifikat izdat fizičkim licima koja zastupaju pravno lice , ili odgovarajući službenik Banca Intesa ad Beograd CA ili RA;

� Ako suspenziju sertifikata zahteva nadležni organ za zaštitu podataka ili neki drugi viši organ koji ima opravdane sumnje da sertifikat sadrži neispravne podatke ili da se privatni ključ koji odgovara javnom ključu iz sertifikata može koristiti bez saglasnosti vlasnika;

� Ako suspenziju sertifikata zahteva sud, tužilac ili institucije koje vrše kriminalnu istragu da bi sprečili dalje zločine.

4.9.14 Ko može zahtevati suspenziju sertifikata

Suspenziju sertifikata datog korisnika može zahtevati sam korisnik, neki drugi ovlašćeni predstavnik pravnog lica ako je sertifikat izdat fizičkim licima koja zastupaju pravno lice, ovlašćeni službenik Banca Intesa ad Beograd RA ili CA, sud, tužilac ili institucije koje vrše kriminalnu istragu.

4.9.15 Procedura zahteva za suspenzijom sertifikata

Zahtev za suspenzijom može biti dostavljen od strane korisnika ili Banca Intesa Beograd RA. Zahtev se dostavlja lično u RA, odgovarajućom digitalno potpisanom porukom do CA od strane korisnika ili Banca Intesa Beograd RA ili putem nekih drugih kanala komunikacije. Zahtev se može dostaviti i od strane zakonskog predstavnika pravnog lica za čije ovlašćeno lice je izdat dati sertifikat. Operacija suspenzije sertifikata je identična povlačenju s tim što je razlog opoziva drugačiji (Certificate Hold) dok se stanje sertifikata na repozitorijumu postavlja na Suspendovan.


48

4.9.16 Ograni čenje perioda suspenzije sertifikata

Suspenzija sertifikata traje onoliko dugo koliko traju i uslovi zbog kojih je suspenzija i zahtevana. Kada ovi uslovi prestanu da važe, korisnik, ili zakonski zastupnik datog pravnog lica, može zahtevati reaktivaciju svog sertifikata ili se to vrši automatski. Banca Intesa Beograd CA publikuje sve povučene i suspendovane sertifikate u svojoj CRL listi. Za vreme suspenzije, ili nakon povlačenja sertifikata, period operativnog rada datog sertifikata se smatra završenim. Sertifikat se aktivira iz suspendovanog stanja u sledećim situacijama:

� Ako aktiviranje sertifikata zahteva zakonski zastupnik organizacije za čijeg ovlašćenog predstavnika je izdat dati sertifikat, ili odgovarajući službenik Banca Intesa ad Beograd CA ili RA.

� Ako aktiviranje sertifikata zahteva nadležni organ za zaštitu podataka ili neki drugi viši organ na osnovu čijeg zahteva je izvršena suspenzija.

� Ako aktiviranje sertifikata zahteva sud, tužilac ili institucija na osnovu čijeg zahteva je izvršena suspenzija.

Operaciju aktiviranja sertifikata iz stanja suspendovan vrši RA ili CA administratora i podrazumeva sledeće akcije:

1. Brisanje serijskog broja sertifikata korisnika iz naredne liste opozvanih sertifikata.

2. Promenu stanja sertifikata korisnika u online repozitorijumu na aktivan.

4.10 Servisi provere statusa sertifikata

4.10.1 Operativne karakteristike

Banca Intesa Beograd CA publikuje sve povučene i suspendovane sertifikate u svojoj CRL listi. Lista povučenih sertifikata (CRL – Certificate Revocation List) Banca Intesa Beograd CA se ažurira na svakih 15 dana.

4.10.2 Raspoloživost servisa

Treće strane moraju koristiti on-line resurse koje Banca Intesa Beograd CA čini raspoloživim putem repozitorijuma u cilju provere statusa sertifikata na koje oni žele da se oslone.


49

4.10.3 Opciona obeležja


4.11 Prestanak koriš ćenja sertifikata

Nakon prestanka korišćenja sertifikata izdatog od strane Banca Intesa Beograd CA, dati sertifikat mora biti povučen. Prestanak korišćenja sertifikata može biti iz sledećih razloga:

� Korisnik želi da prekine korišćenje sertifikacionih servisa Banca Intesa Beograd CA.

� Banca Intesa Beograd CA je prestalo sa pružanjem usluga sertifikacije.

4.12 Čuvanje i rekonstrukcija privatnog klju ča korisnika

4.12.1 Politika i praksa čuvanja i rekonstrukcije privatnog klju ča

Ovo poglavlje u ovom trenutku nije primenljivo u okviru ovog CPS dokumenta. Meñutim, stvaranjem uslova za generisanje višestrukih parova asimetričnih ključeva za korisnike u okviru Banca Intesa Beograd CA, jedan par ključeva će biti generisan u okviru CA i služiće za šifrovanje dokumenata putem procedure digitalne envelope za datog korisnika. U cilju omogućavanja dešifrovanja dokumenata šifrovanih za datog korisnika u incidentnim slučajevima i za eventualne službene potrebe, neophodno je da se dati privatni ključ čuva na bezbedan način na nekom arhivnom serveru u okviru CA. U vezi toga će biti definisane i odgovarajuće procedure za bezbedno čuvanje privatnog ključa, za postupak aktiviranja datog privatnog ključa, kao i definicija u kojim sve slučajevima privatni ključ odreñenog korisnika može biti izvučen iz arhivnog servera. Napominjemo još jednom da se ovde radi o privatnom ključu koji isključivo služi za dešifrovanje digitalne envelope. Privatni ključ korisnika kojim se vrši digitalni potpis ne sme biti nigde čuvan izuzev na smart kartici korisnika ili šifrovan na mini CD medijumu.

4.12.2 Enkapsulacija sesijskog klju ča i politika i praksa za rekonstrukciju



50

5. Upravne, operativne i fizi čke bezbednosne kontrole

Ovo poglavlje opisuje sve one bezbednosne kontrole koje ne spadaju direktno u tehničke kontrole i koje se koriste od strane Banca Intesa Beograd CA u cilju realizacije funkcija generisanja ključeva, autentifikacije subjekta, izdavanja sertifikata, povlačenja sertifikata, revizije i arhiviranja. Ove ne-tehničke bezbednosne kontrole su kritične za poverenje u sertifikate izdate od strane Banca Intesa Beograd CA pošto nedostatak bezbednosti može kompromitovati operativni rad CA rezultujući na primer u kreiranju sertifikata i CRL sa pogrešnim informacijama ili kompromitacijom privatnog ključa CA.

5.1 Fizičke bezbednosne kontrole

Banca Intesa Beograd CA implementira fizičke kontrole u svojim prostorijama.

5.1.1 Lokacija i konstrukcija sajta

Banca Intesa Beograd CA bezbedne prostorije su locirane u prostoru koji odgovara potrebama izvršenja operacija visoke bezbednosti. Postoje označene zone sa fizičkom kontrolom pristupa i zaključane kancelarije sa odgovarajućim sefovima.

5.1.2 Fizički pristup

Fizički pristup je ograničen implementacijom odgovarajućih mehanizama kontrole pristupa iz jedne u drugu zonu bezbednosti, kao i u zonu visoke bezbednosti. U tom smislu, CA operacije su locirane u okviru bezbedne računarske sobe koja je podržana fizičkim monitorisanjem i bezbednosnim alarmima, kao i da je obezbeñena podrška da prelazak iz zone u zonu može biti izveden samo korišćenjem tokena (beskontaktnih kartica) i listi kontrole pristupa.

5.1.3 Elektri čno napajanje i klimatizacija

Sva oprema Banca Intesa ad Beograd CA je priključena na jedinice za neprekidno napajanje. Temperatura i vlažnost vazduha se u prostorijama održava u okviru unapred specificiranih intervala pomoću klima ureñaja. Napajanje i ventilacija se izvršavaju sa redundansom visokog nivoa.


51

5.1.4 Izloženost poplavama i vremenskim nepogodama

Unutar prostorija Banca Intesa ad Beograd CA nema vodovodnih instalacija. Prozori zadovoljavaju najmodernije standarde. Prostorije su zaštićene od poplava.

5.1.5 Prevencija i zaštita od požara

Prevencija i zaštita, kao i mere u odnosu na zaštitu od požara su implementirane. Prostorije Banca Intesa ad Beograd CA su opremljene detektorima dima i sistemom za gašenje požara.

5.1.6 Medijumi za čuvanje podataka

Medijumi se čuvaju na bezbedan način.

5.1.7 Odlaganje sme ća

Iznošenje smeća se takoñe kontroliše. Papirni otpad se propušta kroz mašine za sečenje papirnog otpada. Elektronski medijumi se pre odlaganja moraju fizički/mehanički uništiti.

5.1.8 Odlaganje rezervnih kopija

Backup medijumi se takoñe čuvaju na odvojenoj lokaciji koja je fizički obezbeñena i zaštićena od požara i poplava.

5.2 Proceduralne kontrole

Banca Intesa Beograd CA sprovodi kadrovsku i upravnu praksu koja obezbeñuje razumnu sigurnost u poverljivost i kompetenciju zaposlenih, kao i zadovoljavajuće performanse u vezi sa njihovim dužnostima u domenu tehnologija koje se odnose na elektronski potpis i PKI sisteme. Svaki zaposleni Banca Intesa Beograd CA potpisuje izjavu da će se pridržavati pravne regulative u vezi zaštite podataka, kao i da će zadovoljiti sve postavljene zahteve u vezi sa poverljivošću.


52

5.2.1 Poverljive uloge

Svi zaposleni u Banca Intesa Beograd CA koji izvršavaju operacije povezane sa upravljanjem ključevima, kao i bilo koje druge operacije koje materijalno utiču na takve operacije, smatraju se dužnostima na poverljivim pozicijama. Poverljive uloge/dužnosti u Banca Intesa Beograd CA, izmeñu ostalih, su: RA i CA administrator, sistem evidentičar, kao i administrator za ICT bezbednost. Banca Intesa Beograd CA sprovodi inicijalno istraživanje svih zaposlenih koji su kandidati za poverljive uloge u cilju odreñivanja njihove poverljivosti i kompetencije.

5.2.2 Broj osoba koje se zahtevaju po svakom zadatk u

Tamo gde se zahteva dualna kontrola, potrebno je da najmanje dva poverljiva zaposlena Banca Intesa Beograd CA iskažu njihova podeljena znanja u cilju omogućavanja izvršenja tekućih operacija. Drugim rečima, u okviru Banca Intesa Beograd CA, nijednu osetljivu operaciju ne može izvršiti samo jedan zaposleni. Takoñe, svaka uloga/dužnost definiše odgovarajuće zahteve u pogledu identifikacije i autentifikacije korisnika.

5.2.3 Identifikacija i autentikacija za svaku ulogu

Svaka uloga/dužnost definiše odgovarajuće zahteve u pogledu identifikacije i autentikacije korisnika. Lista uloga i dužnosti je definisana internim pravilima Banca Intesa ad Beograd CA.

5.2.4 Uloge koje zahtevaju razdvajanje dužnosti

U okviru internih pravila Banca Intesa ad Beograd CA definisano je koje uloge/dužnosti mogu biti kombinovane od strane jednog zaposlenog, a koje to ne smeju.

5.3 Kadrovske bezbednosne kontrole

5.3.1 Kvalifikacija i iskustvo

Banca Intesa Beograd CA izvršava neophodne aktivnosti u cilju provere zahtevane biografije, kvalifikacija, kao i iskustva neophodnog u cilju realizacije u okviru konteksta kompetencije specifičnog posla. Takve provere biografije tipično uključuju:


53

� Kriminalne osude za ozbiljne zločine,

� Pogrešne prezentacije informacija od strane kandidata,

� Odgovarajuće reference

Za rad u Banca Intesa ad Beograd CA su neophodni stručnjaci koji su tehnološki i profesionalno kompetentni i koji imaju potrebna znanja iz kriptografije, digitalnog potpisa, PKI sistema, smart kartica, HSM-ova, itd.

5.3.2 Procedura provere biografije

Banca Intesa Beograd CA realizuje relevantne provere eventualnih zaposlenih na bazi statusnih izveštaja koji su izdati od strane kompetentnih autoriteta, izjava trećih strana ili izjava samih potencijalnih zaposlenih.

5.3.3 Zahtevi za obu čenošću

Banca Intesa Beograd CA obezbeñuje obuku za svoje zaposlene u cilju realizacije funkcija poslovanja CA i RA.

5.3.4 Ponovna obuka

Periodično ažuriranje obuke može takoñe biti izvršeno u cilju uspostave kontinuiteta i ažurnosti znanja zaposlenih, kao i odgovarajućih procedura.

5.3.5 Rotacija poslova


5.3.6 Kaznene mere u odnosu na zaposlene

Banca Intesa Beograd CA ima odgovarajuće mere za kažnjavanje zaposlenih za neovlašćene aktivnosti, neovlašćeno korišćenje autoriteta, kao i neovlašćeno korišćenje sistema za svrhu sankcija za odreñeno neposlovno i rizično ponašanje, koje može biti različito u zavisnosti od različitih okolnosti.

5.3.7 Kontrole nezavisnih lica pod ugovorom

Nezavisna lica pod ugovorom su subjekti istih procedura zaštite privatnosti i uslova poverljivosti kao i zaposleni Banca Intesa Beograd CA.


54

5.3.8 Dokumentacija za inicijalnu obuku i ponovnu o buku

Banca Intesa Beograd CA čini dostupnom svu dokumentaciju zaposlenima koja se odnosi na inicijalnu obuku, doobuku ili za druge svrhe.

5.4 Procedure bezbednosnih provera/revizije

Procedure audit logovanja uključuju logovanje dogañaja i reviziju samog sistema, i implementirane su za svrhu održavanja bezbednog okruženja. U tom smislu, Banca Intesa Beograd CA implementira sledeće kontrole.

5.4.1 Tipovi zabeleženih doga ñaja

Banca Intesa Beograd CA zapisuje dogañaje koji uključuju ali nisu ograničeni na operacije vezane za životni ciklus sertifikata, pokušaje pristupa sistemu, kao i zahteve poslate sistemu.

5.4.2 Frekvencija procesiranja logova

Banca Intesa Beograd CA čuva audit logove u realnom vremenu, koji se kasnije procesiraju i arhiviraju na sedmičnom nivou. U slučaju alarma ili incidentnog dogañaja, obaveštava se nadležna osoba iz Službe za ICT bezbednost i CA koja je odgovorna za upravljanje incidentima.

5.4.3 Period čuvanja audit logova

Banca Intesa ad Beograd CA procesira i arhivira audit logove na sedmičnom nivou koji su potpisani elektronskim potpisom.

5.4.4 Zaštita audit logova

Banca Intesa Beograd CA implementira mehanizme zaštite audit logova od modifikacije i brisanja tako da niko ne može izvršiti pomenute operacije. Audit logovi se samo mogu videti od strane autorizovanog osoblja – sistem evidentičari. Postupak zaštite je definisan u Internim pravilima Banca Intesa ad Beograd CA.

5.4.5 Procedure back-up-a audit logova

Banca Intesa Beograd CA implementira procedure backup-a audit logova.


55

5.4.6 Sistem sakupljanja audit logova

Banca Intesa ad Beograd CA sakuplja i čuva audit logove u realnom vremenu.

5.4.7 Obaveštenje subjekta koji je prouzrokovao dog añaj

U slučaju alarma ili incidentnog dogañaja, obaveštava se administrator Banca Intesa ad Beograd CA. Subjekat koji je prouzrokovao odreñeni audit dogañaj se ne obaveštava o samoj audit aktivnosti.

5.4.8 Ocena ranjivosti sistema

Banca Intesa Beograd CA realizuje s vremena na vreme (a obavezno na svakih 6 meseci) procenu ranjivosti sistema.

5.5 Arhiviranje zapisa

Zahtevi za čuvanjem zapisa se primenjuju kako na Banca Intesa Beograd CA tako i na Banca Intesa Beograd RA. Opšte politike čuvanja zapisa Banca Intesa Beograd CA uključuju sledeće.

5.5.1 Tipovi arhiviranih zapisa

Banca Intesa Beograd CA čuva na bezbedan način zapise o Banca Intesa Beograd CA izdatim elektronskih sertifikatima, audit podacima, informacije o aplikacijama za izdavanje sertifikata, kao i dokumentaciju o samim aplikacijama za izdavanje sertifikata.

5.5.2 Period čuvanja arhive

Banca Intesa Beograd CA čuva na bezbedan način pomenute zapise o Banca Intesa Beograd CA elektronskim sertifikatima za period koji je naznačen u internim pravilima Banca Intesa ad Beograd CA.

5.5.3 Zaštita arhive

Uslovi za zaštitu arhive uključuju:


56

� Zapise koje samo sistem revizori (zaposleni kojima su pridružene dužnosti čuvanja podataka) mogu da vide i arhiviraju.

� Zaštitu u odnosu na modifikaciju arhive, kao što je čuvanje podataka na medijumu na koga se može upisati samo jednom.

� Zaštitu u odnosu na brisanje arhive.

� Zaštitu u odnosu na kvarenje karakteristika medijuma vremenom na kojima se arhiva čuva, kao na primer realizacija zahteva da se podaci periodično migriraju na sveže medijume.

5.5.4 Procedura back-up-a arhive

Banca Intesa ad Beograd CA sprovodi odgovarajuću proceduru back-up-a arhive. Banca Intesa ad Beograd CA realizuje zahteve za procedurom čuvanja barem dve odvojene kopije arhive koje su pod kontrolom dve različite osobe.

5.5.5 Zahtevi za timestamping zapisa


5.5.6 Sistem sakupljanja zapisa

Banca Intesa ad Beograd CA sprovodi odgovarajući sistem sakupljanja zapisa/logova koji se arhiviraju.

5.5.7 Procedure za dobijanje i verifikaciju informa cija iz arhive

U cilju dobijanja i verifikacije arhivskih informacija Banca Intesa Beograd CA i Banca Intesa Beograd RA održavaju zapise pod jasnom hijerarhijskom kontrolom i sa jasnim opisom posla. Banca Intesa Beograd CA čuva zapise u elektronskoj ili papirnoj formi. Banca Intesa Beograd CA može zahtevati od svojih RA, korisnika ili njihovih agenata da dostave odgovarajuća dokumenta u cilju podrške ovog zahteva. Ovi zapisi mogu biti čuvani u elektronskoj, papirnoj i u bilo kojoj drugoj formi za koju Banca Intesa Beograd CA smatra da je odgovarajuća. Banca Intesa Beograd CA može da izmeni način čuvanja zapisa ako je to eventualno potrebno da bude u saglasnosti sa odreñenim zakonskim propisima.


57

5.6 Izmena klju čeva

Banca Intesa Beograd CA poseduje proceduru, detaljno opisanu u internim pravilima, koja se sprovodi u slučaju isteka sertifikata sertifikacionog tela ili povlačenja sertifikata sertifikacionog tela u skladu sa uslovima definisanim u ovom CPS dokumentu. U oba slučaja, vrši se generisanje novog para ključeva seritifikacionog tela i distribucija novog sertifikata CA svim korisnicima i zainteresovanim stranama, kao i u slučaju prvog generisanog sertifikata CA.

5.7 Kompromitacija i oporavak u slu čaju katastrofe

5.7.1 Procedure za postupanje u incidentnim i kompr omituju ćim situacijama

U posebnim internim pravilima rada, Banca Intesa Beograd CA dokumentuje procedure koje treba izvršiti pri rešavanju incidenata, kao i izveštavanja u vezi sa eventulanom kompromitacijom ključeva.

5.7.2 Računarski resursi, softver ili podaci koji su ošte ćeni

Banca Intesa Beograd CA takoñe dokumentuje procedure oporavka koje se koriste ukoliko su računarski resursi, softver, i/ili podaci neispravni ili se sumnja da su neispravni.

5.7.3 Procedure koje se sprovode kod kompromitacije privatnog klju ča korisnika

Banca Intesa Beograd CA teži da ponovo uspostavi bezbedno okruženje u koracima koji uključuju, ali nisu ograničeni samo na, povlačenje neispravnih, ili se sumnja da su neispravni, sertifikata odgovarajućih entiteta. Nakon toga, Banca Intesa Beograd CA može ponovo izdati novi sertifikat datom entitetu.

5.7.4 Mogućnosti kontinuiteta poslovanja nakon katastrofe

Plan kontinualnog poslovanja se implementira da osigura nastavak poslovanja nakon prirodne ili druge katastrofe.


58

5.8 Završetak rada CA ili RA

Pre nego što prekine svoje aktivnosti pružanja sertifikacionih usluga, Banca Intesa Beograd CA:

� Obezbeñuje svojim korisnicima koji imaju validne sertifikate obaveštenje o nameri da prestane sa pružanjem sertifikacione usluge, tj. da prestane da izvršava aktivnosti u svojstvu CA.

� Povlači sve sertifikate koji su još uvek validni (tj. one koji nisu povučeni ili im je istekao rok važnosti) nakon obaveštenja a bez zahteva za saglasnošću korisnika.

� Blagovremeno obaveštava o povlačenju sertifikata sve korisnike na koje se to odnosi.

� Čini razumne mere u cilju zaštite zapisa koje čuva u skladu sa ovim CPS dokumentom.

� Ukoliko je to moguće, obezbeñuje odgovarajuće mere sukcesije u smislu ponovnog izdavanja sertifikata od strane drugog CA koje je sukcesor – nastavljač izdavanja sertifikata datog CA – i koje poštuje isti/ekvivalentni CPS dokument.


59

6. Tehni čke bezbednosne kontrole

Ovo poglavlje definiše tehničke bezbednosne mere koje primenjuje Banca Intesa Beograd CA u cilju zaštite svojih kriptografskih ključeva i aktivacionih podataka (kao na primer PIN-ovi, lozinke, itd.). Bezbednosno upravljanje ključevima je kritično u cilju osiguranja da su svi ključevi i aktivacioni podaci zaštićeni i da se koriste isključivo od strane autorizovanih zaposlenih. Takoñe, definisane su i druge tehničke bezbednosne kontrole koje se koriste od strane CA da se bezbedno izvršavaju funkcije generisanja ključeva, autentifikacije korisnika, registracije korisnika, izdavanja sertifikata, povlačenja sertifikata, revizije i arhiviranja. U ovom poglavlju se takoñe definišu tehničke bezbednosne kontrole nad repozitorijumima, registracionim telima, korisnicima i drugim učesnicima.

6.1 Generisanje i instalacija asimetri čnog para klju čeva

6.1.1 Proces generisanja privatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA koristi bezbedan proces generisanja svojih asimetričnih parova ključeva (root i intermediate CA) u skladu sa dokumentovanom procedurom. Banca Intesa Beograd CA distribuira deljene tajne za svoje privatne ključeve. Banca Intesa Beograd CA je vlasnik privatnih ključeva i poseduje autoritet da prenese odgovarajuće deljene tajne na autorizovane nosioce deljenih tajni.

6.1.2 Koriš ćenje privatnih klju čeva Banca Intesa Beograd CA

Privatni ključ root Banca Intesa Beograd CA se koristi za elektronsko potpisivanje Banca Intesa Beograd CA sertifikata (pre svega za izdavanje intermediate CA sertifikata), liste povučenih sertifikata, kao i akreditovanih root-potpisanih entiteta (CA trećih strana)). Privatni ključevi intermediate CA sertifikata (eksterni korisnici, interni korisnici, enterprise VPN) služe za elektronsko potpisivanje sertifikata odgovarajućih korisnika i za potpisivanje odgovarajućih CRL. Druge svrhe korišćenja privatnih ključeva Banca Intesa Beograd CA su zabranjene.


60

6.1.3 Tip privatnih klju čeva Banca Intesa Beograd CA

Za potrebe svog root privatnog ključa i odgovarajuće potpisivanje, Banca Intesa Beograd CA koristi SHA-1/RSA kombinaciju hash i asimetričnog algoritma sa dužinom ključa od 2048 bita i periodom validnosti sertifikata od 10 godina. Period validnosti privatnog ključa Banca Intesa Beograd Root CA je 5 godina. Za svoje intermediate/operativne/online CA privatne ključeve i odgovarajući algoritam za elektronsko potpisivanje, Banca Intesa Beograd CA koristi SHA-1/RSA kombinaciju hash i asimetričnog algoritma sa dužinom ključa od 2048 bita, kao i period validnosti sertifikata od 5 godina. Period validnosti privatnog ključa Banca Intesa Beograd Intermediate CA je 2 godine. U slučaju korisničkih asimetričnih parova ključeva, koristi se identična kombinacija SHA-1/RSA sa dužinom ključa od 1024 bita i periodom validnosti sertifikata od 2 ili 3 godine. Period validnosti privatnog ključa korisnika je identičan periodu validnosti sertifikata. Banca Intesa Beograd CA zadržava pravo na izmenu gore navedenih kombinacija algoritama ukoliko se u teoriji i praksi pokažu slabosti navedenih algoritama i svetska kriptografska javnost preporuči pouzdanije algoritme, kao i u slučajevima definisanja novih standarda za hash i asimetrične algoritme.

6.1.4 Generisanje klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA bezbedno generiše i štiti svoje sopstvene privatne ključeve, korišćenjem bezbednih i pouzdanih sistema, i primenjuje neophodne preventivne mere u cilju sprečavanja kompromitacije ili neautorizovanog korišćenja. Banca Intesa Beograd CA implementira i dokumentuje procedure generisanja ključeva u skladu sa ovim CPS dokumentom. Banca Intesa Beograd CA primenjuje javne, internacionalne i Evropske standarde u vezi bezbednih i pouzdanih sistema.

6.1.5 Ureñaji za generisanje klju čeva Banca Intesa Beograd CA

Generisanje asimetričnog para ključeva Banca Intesa Beograd CA (root i intermediate CA) se dešava u okviru bezbednog kriptografskog ureñaja, smart kartici, koji zadovoljava odgovarajuće zahteve u skladu sa meñunarodnim standardima, kao na primer FIPS 140-2 L3 ili Common Criteria EAL4+ standardom (CWA 14169). Generisanje asimetričnog para ključeva za korisnike se vrši:

� U okviru smart kartice koja zadovoljava odgovarajuće zahteve u skladu sa meñunarodnim standardima, kao na primer FIPS 140-2 L3 ili Common Criteria EAL4+ standardom (CWA 14169) – za eksterne korisnike – pravna i fizička lica.


61

� Softverski u okviru softversko-hardverskog sistema CA a zatim se upisuju na mini CD medijum (privatni ključ u šifrovanom obliku) – za eksterne korisnike – fizička lica.

Kvalitet načina generisanja pomenutih kriptografskih parametara isključivo zavisi od kvaliteta hardverskog generatora slučajnih brojeva na smart karticama i softverskog za potrebe mini CD medijuma korišćenih u Banca Intesa ad Beograd CA.

6.1.6 Kontrole generisanja klju čeva Banca Intesa Beograd CA

Generisanje asimetričnog para ključeva Banca Intesa Beograd CA zahteva kontrolu od više od jednog, na odgovarajući način autorizovanog, zaposlenog koji imaju poverljive pozicije i dužnosti. Autorizacija procedure generisanja ključeva se mora izvršiti od strane više od jednog člana upravne strukture Banca Intesa Beograd CA.

6.1.7 Isporuka privatnog klju ča korisniku

Banca Intesa ad Beograd CA isporučuje privatni ključ korisniku na smart kartici (eksterni korisnici – fizička i pravna lica, interni korisnici) ili mini CD medijumu (eksterni korisnici – fizička lica).

6.1.8 Dostava javnog klju ča do izdavaoca sertifikata

Javni ključ korisnika, kao deo asimetričnog para ključeva, se dostavlja do Banca Intesa ad Beograd CA kroz odgovarajuće softverske aplikacije (RA i CA administrator), i to u obliku zahteva za izdavanje sertifikata u PKCS#10 formatu. Dostavljanje zahteva za izdavanje sertifikata krajnjeg korisnika u PKCS#10 formatu vrši CA administrator nakon što je odgovarajući operater registracionog autoriteta proverio identitet podnosioca zahteva i istinitost podataka iz pripremljenog zahteva.

6.1.9 Dostava javnog klju ča izdavaoca sertifikata tre ćim stranama

Banca Intesa ad Beograd CA dostavlja svoje javne ključeve Root i Intermediate CA, u obliku X.509v3 sertifikata putem svog online repozitorijuma kome mogu da pristupaju svi korisnici i treće strane.

6.1.10 Moguće „Key Usage" opcije

U elektronskim sertifikatima CA (root i intermediate CA sertifikati) i elektronskim sertifikatima korisnika izdatim od strane Banca Intesa ad Beograd CA koriste se sledeće vrednosti u ekstenziji „Key Usage“:


62

Root CA sertifikat:

� Certificate Signing, Off-Line CRL Signing, CRL Signing Intermediate CA sertifikat:

� Certificate Signing, Off-Line CRL Signing, CRL Signing Sertifikati korisnika:

� Digital Signature, Key Encipherment, Data Encipherement

6.2 Zaštita privatnog klju ča

Banca Intesa Beograd CA koristi odgovarajuće kriptografske ureñaje u cilju realizacije zadataka upravljanja ključevima CA: hardverski bezbednosni moduli (HSM - Hardware Security Modules) i/ili smart kartice. HSM ureñaji i/ili smart kartice ne smeju da napuštaju Banca Intesa Beograd CA prostorije izuzev retkih prilika unapred definisanih premeštanja i preseljenja. Banca Intesa Beograd CA čuva zapise u vezi svih tih premeštanja ili preseljenja. U slučaju da odgovarajući HSM zahteva održavanje ili popravku, koja se ne može izvršiti u okviru Banca Intesa Beograd CA prostorija, oni se onda bezbedno prenose do njihovog proizvoñača uz brisanje kompletnog kriptografskog materijala na njemu i uz poštovanje svih neophodnih bezbednosnih mera, detaljno opisanih u CPS dokumentu. Hardverski i softverski mehanizmi koji štite privatne ključeve CA su dokumentovani u Posebnim internim pravilima rada. Dokumenti prikazuju da su mehanizmi zaštite CA ključa u najmanju ruku ekvivalentne snage kao i sami CA ključevi koji se štite. Privatni ključ Banca Intesa Beograd CA se ne obnavlja. Privatni ključ Banca Intesa Beograd CA će biti uništen na kraju svog životnog ciklusa.

6.2.1 Standardi i kontrole kriptografskog hardversk og modula

Ovi ureñaji zadovoljavaju zahteve iz FIPS PUB 140-2 nivo 2 ili viši i Common Criteria EAL4+ standard (CWA 14169), koji garantuju, izmeñu ostalog da je bilo koji pokušaj narušavanja integriteta ureñaja ili kriptografske memorije istovremeno detektovan, i da privatni ključevi ne mogu da napuste ureñaj.


63

6.2.2 Čuvanje privatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA koristi bezbedne kriptografske ureñaje da čuva svoje privatne ključeve u skladu sa meñunarodnim zahtevima iskazanim u FIPS 140-2 L2 i/ili viši ili Common Criteria EAL4+ standardu (CWA 14169).

6.2.3 Kontrole čuvanja klju ča Banca Intesa Beograd CA

Procedura čuvanja privatnog ključa Banca Intesa Beograd CA zahteva višestruke kontrole od strane na odgovarajući način autorizovanog osoblja sa poverljivim rolama. Autorizacija procedure čuvanja ključeva i autorizacija odgovarajućeg osoblja mora biti izvršena od strane više od jednog člana upravne strukture Banca Intesa ad Beograd CA.

6.2.4 Backup klju čeva Banca Intesa Beograd CA

Privatni ključevi Banca Intesa Beograd CA, kako CA privatni ključevi tako i korisnički, se ne backup-uju, tj. ne prave se rezervne kopije privatnih ključeva.

6.2.5 Arhiviranje privatnog klju ča

Nije primenljivo u okviru ovog CPS dokumenta.

6.2.6 Transfer privatnog klju ča na hardverski kriptografski modul

Nije primenljivo u okviru ovog CPS dokumenta.

6.2.5 Procedura deljenja tajni

Procedura deljenja tajni Banca Intesa Beograd CA koristi višestruke autorizovane nosioce u cilju da zaštiti i poboljša poverljivost privatnih ključeva. Privatni ključ Banca Intesa Beograd CA se koristi pod uslovima definisanim u okviru k od n kontrole od strane više zaposlenih sa poverljivim ulogama. Ova kontrola je bliže definisana u internim pravilima rada.


64

6.2.5 Prihvatanje deljenih tajni

Pre nego što nosilac deljene tajne prihvati deljenu tajnu on mora lično da se upozna sa kreiranjem, ponovnim kreiranjem i distribucijom tajne na sledećeg člana lanca poverljivosti. Nosilac deljene tajne može primiti deljenu tajnu na fizičkom medijumu, kao što je odreñeni hardverski kriptografski modul (na primer smart kartica) koji je potvrñen za korišćenje od strane Banca Intesa Beograd CA. Banca Intesa Beograd CA čuva pisane zapise u vezi distribucije deljene tajne.

6.2.6 Distribucija deljenih tajni za aktivaciju pri vatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA dokumentuje sopstvenu distribuciju deljenih tajni za aktivaciju svog privatnog ključa i ima mogućnost da izmeni način distribucije tokena u slučaju da staraoci/nosioci tokena zahtevaju da budu zamenjeni u njihovim rolama kao staraoci/nosioci tokena.

6.2.7 Metoda aktivacije privatnog klju ča

Nosioci deljenih tajni (staraoci) Banca Intesa ad Beograd CA imaju zadatak da aktiviraju i deaktiviraju privatni ključ. Privatni ključ je tada aktivan u definisanom periodu vremena.

6.2.8 Metoda deaktiviranja privatnog klju ča

Nosioci deljenih tajni (staraoci) Banca Intesa ad Beograd CA imaju zadatak da aktiviraju i deaktiviraju privatni ključ. Privatni ključ je tada aktivan u definisanom periodu vremena.

6.2.9 Uništavanje privatnog klju ča Banca Intesa Beograd CA

Banca Intesa Beograd CA privatni ključevi se uništavaju na kraju njihovog životnog veka u cilju garancije da oni neće nikada biti ponovo aktivirani i korišćeni. Privatni ključevi Banca Intesa Beograd CA se uništavaju tako što se isti unište, kao i brisanjem njihovih deljenih delova/tajni. Proces uništavanja ključeva je dokumentovan u posebnim internim pravilima rada i odgovarajući zapisi su arhivirani.


65

6.2.10 Rangiranje kriptografskih hardverskih modula


6.3 Neki aspekti upravljanja parom klju čeva

6.3.1 Arhiviranje javnog klju ča

Banca Intesa Beograd CA arhivira svoj sopstveni javni ključ.

6.3.2 Periodi validnosti sertifikata i privatnog kl juča

Banca Intesa Beograd CA izdaje korisničke sertifikate za periodom korišćenja kao što je naznačeno u sertifikatima. Vreme validnosti privatnog ključa Banca Intesa ad Beograd root CA je 5 godina, dok je sam root CA sertifikat validan 10 godina. Vreme validnosti privatnog ključa Intermediate CA je 2 godine – dok je sam Intermediate CA sertifikat validan 5 godina.

6.4 Aktivacioni podaci

6.4.1 Generisanje i instalacija aktivacionih podata ka

Banca Intesa Beograd CA bezbedno procesira aktivacione podatke pridružene privatnim ključevima CA, kao i svim drugim privatnim ključevima u datom PKI sistemu (intermediate CA, RA, korisnici).

6.4.2 Drugi aspekti u vezi aktivacionih podataka



66

6.5 Bezbednosne kontrole ra čunara

6.5.1 Specifi čni zahtevi za bezbednost ra čunara

Banca Intesa Beograd CA implementira bezbednosne kotrole nad računarima koji se koriste u okviru datog PKI sistema.

6.5.2 Rangiranje bezbednosti ra čunara


6.6 Životni ciklus bezbednosnih kontrola

Banca Intesa Beograd CA realizuje periodične razvojne i bezbednosne upravljačke kontrole.

6.7 Mrežne bezbednosne kontrole

Banca Intesa Beograd CA održava i primenjuje visok nivo sistema mrežne bezbednosti, uključujući primenu firewall ureñaja i intrusion detection/prevention sistema.

6.8 Vremenski pe čat



67

7. Profili sertifikata i CRL lista

Ovo poglavlje specificira formate sertifikata i CRL lista koje izdaje Banca Intesa Beograd CA.

7.1 Profili sertifikata

Banca Intesa Beograd CA izdaje sledeće vrste sertifikata:

� Root CA za interne i eksterne korisnike – na smart kartici;

� Intermediate CA za eksterne korisnike – na smart kartici;

� Intermediate CA (Microsoft - Enterprise) za interne korisnike;

� Intermediate CA (Microsoft – Standalone) za uspostavu interne VPN (IPSec) mreže u Banci – Enterprise VPN

� (Opciono) različiti Intermediate CA sertifikati

� Sertifikati internih korisnika

o Zaposleni Banke – elektronski sertifikat na smart kartici – CID (Corporate ID)

o AdminWeb korisnici – elektronski sertifikat na smart kartici (posebna smart kartica)

o Poslovni saradnici - pojedinci iz partnerskih firmi – elektronski sertifikat na smart kartici (USB smart card token – iKey) za udaljeni pristup mreži Banke (VPN (IPSec))

� Sertifikati eksternih korisnika

o Fizička lica

� Za fizička lica – na mini CD medijumu za potrebe elektronskog home banking sistema – elektronski sertifikat (generički),

� (Opciono) Za fizička lica za potrebe realizacije elektronskog home banking sistema – na smart kartici – Maestro multiaplikativna EMV platna kartice – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za fizička lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

o Pravna lica

� Za pravna lica, registrovana za obavljanje delatnosti, za potrebe elektronskog bankarstva Banca Intesa ad Beograd – na smart kartici – e-banking kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),


68

� Za pravna lica – aplikacija web krediti - na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� Za pravna lica – aplikacija Broker assistance – na smart kartici - elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica – partnere ili specijalne korisnike Banca Intesa ad Beograd u cilju zaštićene komunikacije sa njima – na smart kartici – elektronski sertifikat (u budućnosti potencijalni kvalifikovani elektronski sertifikat),

� (Opciono) Za pravna lica koja žele da budu CA u okviru PKI sistema Banca Intesa ad Beograd – (opciono) root signing program elektronski sertifikat,

� Sertifikati informacionih resursa – bez smart kartice (kako za interne tako i za eksterne korisnike):


o SSL sertifikati



Banca Intesa ad Beograd CA publikuje u okviru ovog CPS dokumenta profile sertifikata koje koristi za sve tipove sertifikata koje izdaje.

7.1.1 Broj verzije

Banca Intesa ad Beograd CA izdaje sertifikate u formatu X.509v3 tako da su svi sertifikati verzije 3.

7.1.2 Ekstenzije u sertifikatu

7.1.2.1 Opšti profil sertifikata

Opšti profil Banca Intesa Beograd CA sertifikata:

Ime profila Period validnosti certifikata

Period validnosti privatnog ključa

Basic Constraints Ekstenzija

End Entity|CA, Path length=x


69

Čuvanje ključeva Smart kartica | mini CD Zajedničke ekstenzije Authority Key Identifier

Subject Key Identifier Authority Information Access CRL Distribution Point

Dužina ključeva 1024, 2048 bita Key Usage ekstenzija – moguće vrednosti

Digital Signature Non-Repudiation Key Encipherment Data Encipherment Key Agreement

Certificate Signing CRL Signing Encipher Only Decipher Only

Enhanced Key Usage Ekstenzija

Client Authentication Server Authentication Email Protection Code Signing Timestamping

OID Politike URL za politiku certifikacije

7.1.2.2 Profil Root CA sertifikata Banca Intesa Beo grad CA

Profil root CA sertifikata:


10 godina


5 godina

Ekstenzija osnovnih ograničenja

CA

Čuvanje ključeva Smart kartica Zajedničke ekstenzije Authority Key Identifier

Subject Key Identifier Dužina ključa 2048 bita Ekstenzija korišćenja ključa

Certificate Signing Off-Line CRL signing CRL Signing

7.1.2.3 Profil Intermediate CA sertifikata Banca In tesa Beograd CA

Profil intermediate CA sertifikata:


70


5 godina


2 godine


CA


Subject Key Identifier Authority Information Access CRL Distribution Point

Dužina ključa 2048 bita Ekstenzija korišćenja ključa

Certificate Signing Off-Line CRL signing CRL Signing

7.1.2.4 Profil sertifikata korisnika – pravnog lica Banca Intesa Beograd CA

Banca Intesa Beograd CA publikuje u okviru CPS dokumenta profile sertifikata koje koristi za sve tipove sertifikata koje izdaje. U ovom dokumentu je prikazan generalni profil sertifikata za pravno lice koje izdaje Banca Intesa Beograd CA.

Ime profila Standardni sertifikat za pravno lice Period validnosti certifikata

3 godine


3 godine


End Entity


Subject Key Identifier Authority Information Access CRL Distribution Point Certificate Policies


Digital Signature Key Encipherment Data Encipherement

Ekstenzija naprednog korišćenja ključa

Client Authentication (1.3.6.1.5.5.7.3.2) Email Protection (1.3.6.1.5.5.7.3.4)

OID Politike 1.3.6.1.4.1.24885.1.2.2.x.3.1 URL za CPS http://trust.bancaintesabeograd.com/resources/Banca

Intesa ad Beograd Digitrust_cps.pdf


71

Pri čemu navedno slovo „x“ u okviru OID-a politike sertifikacije uzima vrednost 1, 2, 3 ili 4, prema sledećem:

� x=1 – e-banking korisnik,

OID Politike (1.3.6.1.4.1.24885.1.2.2.1.3.1)

� x=2 – korisnik web kredita

OID Politike (1.3.6.1.4.1.24885.1.2.2.2.3.1)

� x=3 – korisnik Broker assistance sistema

OID Politike (1.3.6.1.4.1.24885.1.2.2.3.3.1)

� x=3 – pravna lica partneri

OID Politike (1.3.6.1.4.1.24885.1.2.2.4.3.1)

7.1.2.5 Profil sertifikata korisnika – fizi čkog lica Banca Intesa Beograd CA

Banca Intesa Beograd CA publikuje u okviru ovog CPS dokumenta profile sertifikata koje koristi za sve tipove sertifikata koje izdaje. U nastavku je prikazan generalni profil sertifikata za fizičko lice koje izdaje Banca Intesa Beograd CA.

Ime profila Standardni sertifikat za fizičko lice Period validnosti certifikata

2 godine


2 godine


End Entity

Čuvanje ključeva miniCD, Maestro EMV platna kartica, Smart kartica Zajedničke ekstenzije Authority Key Identifier

Subject Key Identifier Authority Information Access CRL Distribution Point Certificate Policies


Digital Signature Key Encipherment Data Encipherement

Ekstenzija naprednog korišćenja ključa

Client Authentication (1.3.6.1.5.5.7.3.2) Email Protection (1.3.6.1.5.5.7.3.4)

OID Politike 1.3.6.1.4.1.24885.1.2.1.x.y.1 URL za CPS http://trust.bancaintesabeograd.com/resources/Banca

Intesa ad Beograd Digitrust_cps.pdf


72

Pri čemu navedena slova „x“ i „y“ u okviru OID-a politike sertifikacije uzimaju vrednosti prema sledećem:

� x=1; y=2 – fizičko lice – home banking korisnik – mini CD,

OID Politike (1.3.6.1.4.1.24885.1.2.1.1.2.1)

� x=2; y=3 – fizičko lice – home banking korisnik – Maestro,

OID Politike (1.3.6.1.4.1.24885.1.2.1.2.3.1)

� x=3; y=3 – fizička lica – partneri i specijalni korisnici – smart kartica,

OID Politike (1.3.6.1.4.1.24885.1.2.1.3.3.1)

Pri tome treba naglasiti da se sertifikat fizičkog lica za korišćenje u home banking sistemu Banke izdatog na mini CD medijumu razlikuje od sertifikata izdatog na Maestro EMV platnoj kartici ili smart kartici u tome što je isti anoniman - generički. Naime, sertifikati na miniCD-ovima se generišu unapred i predstavljaju generičke sertifikate koji su jednoznačno odreñeni jedinstvenim brojem koji se upisuje u CN polje DN elementa sertifikata. Odreñeni broj tako unapred generisanih mini CD medijuma se podele po ekspoziturama. Prilikom uručenja miniCD medijuma korisniku koji to zatraži, jedinstven identifikacioni broj miniCD medijuma se povezuje sa konkretnim fizičkim licem i nakon toga se dati generički sertifikat upisuje u profil datog korisnika čime su mu aktivirane sve usluge u okviru home banking sistema za koje je potrebno koristiti sertifikat na mini CD medijumu.

7.1.3 Objektni identifikatori algoritama

Banca Intesa ad Beograd CA u sertifikatima koje izdaje koristi kombinaciju algoritama:

� SHA1RSA sa OID-om: 1.2.840.113549.1.1.5 Meñutim, Banca Intesa ad Beograd CA PKI sistem podržava implementaciju bilo kojih kombinacija hash i asimetričnog kriptografskog algoritma.

7.1.4 Forme imena

U ovom poglavlju je naveden skup podataka koji se dostavljaju do Digitrust sistema radi kreiranja profila sertifikata korisnika. U pomenutom skupu, navedeni su obavezni i opcioni podaci koji se dostavljaju za potrebe formiranja profila sertifikata korisnika pravnih lica, i to za potrebe e-banking sistema Banca Intesa ad Beograd, kao i za korisnike aplikacije POS kredita. Što se tiče fizičkih lica – eksternih korisnika, u slučaju generičkih sertifikata na mini CD medijumima u Digitrust PKI sistemu se i ne generišu profili korisnika jer se


73

sertifikati u startu generišu anonimni. Za slučaj sertifikata za fizička lica koji se izdaju na smart karticama, pofili su definisani u nastavku teksta. U slučaju obaveznih podataka koji se dostavljaju, navedeni podaci se moraju obavezno uneti kroz interne aplikacije formiranja naloga ovih korisnika za rad u e-banking sistemu (enrollment aplikacija), u sistemu Web kredita (middle office aplikacija) ili za fizička lica (aplikacija online). U pomenutim aplikacijama se mora ugraditi kontrola koja opominje službenika koji unosi podatke da neki od obaveznih podataka (i koji su to podaci) nisu uneti. U slučaju opcionih podataka koji iz bilo kog razloga ne postoje u odgovarajućem nalogu, podatak se dostavlja do Digitrust CA sistema sa vrednošću „NULL“. U dokumentu je naveden skup podataka koji se dostavljaju za organizaciju – pravno lice koji je identičan za e-banking korisnike i korisnike Web kredita, a zatim je naveden skup podataka koji se dostavljaju za potrebe kreiranja korisnika e-banking sistema (fizičko lice – ovlašćeni predstavnik organizacije) i korisnika Web kredita (fiktivni korisnik – prodajno mesto date organizacije). Na kraju su dostavljeni skupovi podataka koji se upisuju u DN korisnika (e-banking i POS krediti) koji obuhvataju obavezna i opciona polja koja ulaze u DN. U slučaju da se odgovarajuća opciona polja ne dostave u profil korisnika, dati elementi se neće pojavljivati u DN sertifikata korisnika.

7.1.4.1 Skup podataka za profil organizacije u Digi trust CA sistemu

Za potrebe kreiranja profila swertifikata organizacije u Digitrust CA sistemu, neophodno je dostaviti sledeće podatke:

� Ime organizacije (Organization Name) – obavezno polje

� Poštanska adresa organizacije sa sledećim poljima:

o Ulica i broj (Street Address) – obavezno polje

o Grad (City/Town) – obavezno polje

o Poštanski broj (Postal Code) – obavezno polje

� Pokrajina (State/Province) – obavezno polje (ali samo kod organizacije koje imaju ugovor za korišćenje aplikacije POS kredita – za e-banking korisnike izbaciti)

� Država (Country) – obavezno polje (ali samo kod organizacije koje imaju ugovor za korišćenje aplikacije POS kredita – za e-banking korisnike izbaciti)

� Broj telefona (Phone Number) – opciono

� Broj faksa (Facsimile Number) - opciono

� E-mail adresa (E-Mail address) - opciono

� Matični broj (Legal ID) – obavezno polje


74

� Poreski broj (Tax Number) – obavezno polje

� Država u kojoj je organizacija registrovana (Country where the organization is registered) – obavezno polje (ali samo kod organizacije koje imaju ugovor za korišćenje aplikacije POS kredita – za e-banking korisnike izbaciti)

� Zahtevati da se u Distinguished Name (DN) organizacije ubace (ako postoje):

o Serijski broj (Serial Number in DN (generated))

o Poštanska adresa (Address in DN)

o Država (Country in DN) (ali samo kod organizacije koje imaju ugovor za korišćenje aplikacije POS kredita – za e-banking korisnike izbaciti)

� Za direktorijum se bira: „Root“.

7.1.4.2 Skup podataka za profil korisnika – fizi čko lice (online)

Ukoliko korisnik – fizičko lice koje ima otvoren tekući račun u Banci zahteva izdavanje sertifikata na mini CD-u ili Maestro kartici, predlog je da se sledeći podaci dostave Digitrust CA sistemu za potrebe profila korisnika:

� Podatak da se radi o Mini CD-u ili Maestro kartici

� Podatak o poslovnoj jedinici Banke iz koje se dostavlja zahtev

� Osnovni podaci o korisniku

o First Name

o Last Name

o Middle Name

o Gender

o Date of birth

o Place of birth

o Country of birth

o JMBG (treba iskombinovati sa poljem Legal ID pa da jedno polje važi za JMBG u slučaju fizičkog lica a Legal ID za pravno lice)

o E-mail address

o Broj ID dokumenta (lična karta (ili pasoš)) (ovo polje iskombinovati sa Tax Number poljem pa da jedno polje važi za Broj lične karte u slučaju fizićkog lica a Tax Number u slučaju pravnog lica)

� Podaci o adresi prebivališta korisnika na koju se dostavlja PIN pismo

o Street Address

o City/Town


75

o P/o Box

o Postal Code

o Postal City

o State/Province

o Country

Kada se narezuju mini CD-ovi, u aplikacijama za narezivanje se upisuju redni brojevi mini CD-ova koji se zatim upisuju u Profil odgovarajućeg korisnika (direktorijum mini CD) prilikom uručenja. Što se tiče Maestro kartice, neophodno je da se, u trenutku kreiranja zahteva za sertifikatom, dostavi i broj Maestro kartice (koji je pročitan iz baze) do Enterprize RA radi upisa u Profil korisnika (direktorijum Token). Potrebno je obezbediti polje za taj broj u interfejsu prema Enterprize RA. Sadržaj Subject polja u sertifikatu fizičkog lica:

� Serial Number – koji je jedinstven po korisniku (naime, korisnik može imati više sertifikata koji se razlikuju po serijskom broju sertifikata ali je u tim sertifikatima Serial Number u Subject polju uvek isti).

� CN = Ime i prezime korisnika

� E = email adresa korisnika

Ukoliko se reši problem sa listom država u Digitrust CA sistemu, tada bi u Subject sertifikata trebalo uneti i polje: C = Država prebivališta (Country of residence) datog korisnika.

7.1.4.3 Skup podataka za profil e-banking korisnika u datoj organizaciji

U ovom slučaju, za profil sertifikata ovlašćenog korisnika (na primer korisnika – fizičko lice koji ima deponovan potpis za datu organizaciju) u okviru date organizacije koja ima ugovor sa Banca Intesa ad Beograd za POS kredite, obavezno je uneti sledeće podatke:

� First Name – Ime ovlašćenog korisnika – fizičkog lica – obavezno polje

� Last Name – Prezime ovlašćenog korisnika – fizičkog lica – obavezno polje

� Poštanska adresa prebivališta ovlašćenog korisnika – fizičkog lica sa sledećim poljima:




� Broj telefona (Phone Number) - opciono


76


� JMBG ovlašćenog korisnika – fizičkog lica (Legal ID) – obavezno polje

� Uloga u organizaciji (Organization Role) sa vrednošću: Legal representative - opciono

� Zahtevati da se u Distinguished Name (DN) datog ovlašćenog korisnika – fizičkog lica ubace (ako postoje):


o Poštanska Adresa (Postal Address in DN)

o Grad (City in DN)

o E-mail adresa (E-Mail address in DN).

Na ovaj način, u DN polju izgenerisanog sertifikata za ovlašćeno lice datog pravnog lica će biti sledeći sadržaj:

� Serial Number = 20060901093357 (slučajno izgenerisani broj za ovlašćenog korisnika – fizičkog lica)

� CN = Ime i Prezime ovlašćenog korisnika – fizičkog lica

� E = e-mail adresa ovlašćenog korisnika – fizičkog lica

� STREET = Ulica i broj ovlašćenog korisnika – fizičkog lica

� L = Grad u kome je prebivalište ovlašćenog korisnika – fizičkog lica

� Serial Number = 20060901092929 (slučajno izgenerisani broj za organizaciju)

� O = Organizacija

� STREET = Ulica i broj organizacije

� L = Grad u kome se nalazi organizacija

Još jednom se napominje da naveden skup podataka u DN korisnika obuhvata obavezna i opciona polja koja ulaze u DN. U slučaju da se odgovarajuća opciona polja ne dostave u profil korisnika, dati elementi se neće pojavljivati u DN sertifikata korisnika.

7.1.4.4 Skup podataka za profil korisnika Web kredi ta u datoj organizaciji

U ovom slučaju, za profil sertifikata ovlašćenog korisnika – prodajno mesto u okviru date organizacije koja ima ugovor sa Banca Intesa ad Beograd za Web kredite, obavezno je uneti sledeće podatke:

� First Name – Ime prodajnog mesta – obavezno polje

� Last Name – Ime organizacije – obavezno polje


77

� Poštanska adresa prodajnog mesta sa sledećim poljima:




o Pokrajina (State/Province) - opciono

o Država (Country) – obavezno polje

� Broj telefona (Phone Number) - opciono


� Država u kojoj se nalazi prodajno mesto (Country of residence) – obavezno polje

� Uloga u organizaciji (Organization Role) sa vrednošću: Legal representative - opciono

� Zahtevati da se u Distinguished Name (DN) datog prodajnog mesta ubace (ako postoje):


o Poštanska Adresa (Postal Address in DN)

o Grad (City in DN)

o E-mail adresa (E-Mail address in DN).

Na ovaj način, u DN polju izgenerisanog sertifikata datog prodajnog mesta će biti sledeći sadržaj:

� Serial Number = 20060901093357 (slučajno izgenerisani broj za prodajno mesto)

� CN = Prodajno mesto (Ime) Organizacija (Prezime)

� E = e-mail adresa prodajnog mesta

� STREET = Ulica i broj prodajnog mesta

� L = Grad u kome se nalazi prodajno mesto

� Serial Number = 20060901092929 (slučajno izgenerisani broj za organizaciju)

� O = Organizacija

� STREET = Ulica i broj organizacije

� L = Grad u kome se nalazi organizacija

� S = Pokrajina organizacije

� C = Dvoslovni kod koji označava državu u kojoj se nalazi organizacija (u ovom trenutku je ovo polje predefinisano na “YU” iako se dostavlja vrednost “Serbia”).


78

Još jednom se napominje da naveden skup podataka u DN korisnika obuhvata obavezna i opciona polja koja ulaze u DN. U slučaju da se odgovarajuća opciona polja ne dostave u profil korisnika, dati elementi se neće pojavljivati u DN sertifikata korisnika.

7.1.5 Ograni čenja imena

Ovo poglavlje nije primenljivo u okviru ovog CPS dokumenta.

7.1.6 Objektni identifikator

U ovom poglavlju je definisana OID (Object IDentifier) struktura za potrebe Politika sertifikacije i CPS-a koja se koristi pri izdavanju sertifikata u okviru PKI sistema Banca Intesa ad Beograd. Predlog se bazira na sledećoj strukturi: 1.3.6.1.4.1.24885.a.b.c.d.e.f.(g.h) Broj 1.3.6.1.4.1 predstavlja opšti prefiks za private-enterprize broj sa sajta: http://www.iana.org/assignments/smi-numbers, 24885 je Private Enterprize Number (PEN) dodeljen za Banca Intesa ad Beograd. Slova iza PEN-a imaju sledeća predložena značenja: a. Tip dokumenta

1 – Certificate Policy

2 – CPS

3 – neki drugi tip dokumenta

b. Globalni tip korisnika

1 – Interni korisnici

2 – Eksterni korisnici

c. Karakteristični tip korisnika

1 – Fizička lica

2 – Pravna lica

3 – Informacioni resursi

d. Posebni korisnici


79

b=1

1 – Zaposleni

2 – Admin Web korisnici

3 – Pojedinci iz partnerskih firmi

b=2

c=1

1 – Fizička lica – generički sertifikat

2 – Fizička lica – smart kartica (Maestro)

3 – Fizička lica – partneri – smart kartica

c=2

1 – Pravna lica – e-banking – smart kartica

2 – Pravna lica – web krediti – smart kartica

3 – Pravna lica – Broker assistance – smart kartica

4 – Pravna lica – partneri – smart kartica

b=1 ili 2

c=3

1 – E-mail sertifikat za automatsko slanje mailova

2 – SSL sertifikat

3 – Code Signing sertifikat

4 – VPN (IPSec) sertifikat

e. Način distribucije sertifikata

1 – Softverski sertifikati

2 – Mini CD

3 – Smart kartica

4 – SSCD smart kartica

f. Tip sertifikata

1 – Standardni ITU-T X.509 elektronski sertifikati

2 – Kvalifikovani ITU-T X.509 elektronski sertifikati

g.h Opciona slova koja mogu označavati verziju dokumenta, npr. 1.0 Prema ovom predlogu, imali bi sledeće primere oznaka dokumenata: 1. Politika sertifikacije za fizička lica home banking (online) eksterne korisnike koji koriste mini CD:


80

1.3.6.1.4.1.24885.1.2.1.1.2.1 2. Politika sertifikacije za fizička lica home banking korisnike koji koriste smart karticu (Maestro): 1.3.6.1.4.1.24885.1.2.1.2.3.1 3. Politika sertifikacije za pravna lica e-banking korisnike koji koriste smart karticu: 1.3.6.1.4.1.24885.1.2.2.1.3.1 U ovim primerima nisu korišćene oznake verzija dokumenata, slova g i h.

7.1.7 Koriš ćenje „Policy Constraints“ ekstenzije


7.1.8 Sintaksa i semantika „Policy Qualifier“-sa


7.1.9 Semantika procesiranja kriti čne ekstenzije „Certificate Policies“

U sertifikatima izdatim od strane Banca Intesa ad Beograd CA, neophodno je da ekstenzija „Certificate Policies“ ima sledeće vrednosti:

� Odgovarajući OID politike sertifikacije po kojoj se izdaje dati sertifikat

� Internet lokaciju (URL) na kojoj se nalazi ovaj CPS dokument radi preuzimanja.

7.2 Profil CRL liste

U skladu sa ITU-T X.509v2 i IETF PKIX RFC 2459, Banca Intesa Beograd CA podržava izdavanje CRL lista koje su u saglasnosti sa sledećim uslovima:

� Brojevi verzija su podržani za CRL liste,

� CRL i CRL ekstenzije su popunjene i njihova kritičnost je posebno naznačena.

Profil Banca Intesa Beograd CA CRL (Sertificate Revocation List) liste je prikazan u sledećoj tabeli:


81

Version [Version 1] Issuer Name

CountryName=[Root Sertificate Country Name], OrganizationName=[Root Sertificate Organization], commonName=[Root Sertificate Common Name]

This Update [Date of Issuance] Next Update [Date of Issuance + 15 days] Signature Algorithm identifier Authority Key identifier

CRL Entries Sertificate Serial Number [Sertificate Serial Number] Date and Time of Revocation [Date and Time of Revocation]

Revoked sertificates

CRL reason code

7.2.1 Broj verzije

Banca Intesa ad Beograd CA generiše i objavljuje CRL liste verzije 2 (X.509v2).

7.2.2 CRL i CRL entry ekstenzije

CRL lista koja se izdaje od strane Banca Intesa ad Beograd CA ima sledeće ekstenzije:

� AKI (Authority Key Identifier)

� CRL Number – redni broj CRL liste

CRL entry ekstenzije su:

� Serijski broj opozvanog sertifikata

� Datum i vreme opoziva

� Kod razloga opoziva

7.3 OCSP profil


7.3.1 Broj verzije



82

7.3.2 OCSP ekstenzije



83

8. Provera saglasnosti i druga ocenjivanja

8.1 Frekvencija ili uslovi ocenjivanja

Banca Intesa Beograd CA vrši periodičnu reviziju/proveru saglasnosti svojih politika, uključujući i ovaj CPS dokument što, nakon upisa u evidenciju sertifikacionih tela Republike Srbije, uključuje i periodičnu superviziju od strane Nadležnog organa Republike Srbije. Rad Banca Intesa Beograd CA je takoñe u saglasnosti sa najvažnijim meñunarodnim i Evropskim standardima u ovoj oblasti, kao i sa Evropskom direktivom 1999/93/EC o elektronskim potpisima. U domenu izdavanja elektronskih sertifikata, Banca Intesa Beograd CA radi u okviru ograničenja definisanim u Zakonu o elektronskom potpisu Republike Srbije, kao i u odgovarajućim podzakonskim aktima. Banca Intesa Beograd CA prihvata pod odreñenim uslovima i proveru/reviziju internih procedura i pravila rada koja nisu javno dostupna. Banca Intesa Beograd CA evaluira rezultate ovakvih provera pre nego što ih implementira.

8.2 Identitet/kvalifikacije procenjiva ča

Banca Intesa Beograd CA sprovodi redovne interne revizije usklañenosti poslovanja sa CP dokumentima, kao i sa ovim CPS dokumentom. Ukoliko se Banca Intesa Beograd CA akredituje za izdavanje kvalifikovanih elektronskih sertifikata, tada će Nadležni organ za poslove akreditacije i supervizije PKI sistema u Srbiji vršiti obaveznu superviziju Banca Intesa Beograd CA barem jednom godišnje.

8.3 Odnos ocenjiva ča prema ocenjivanom entitetu


8.4 Teme pokrivene u procesu ocenjivanja

U procesu ocenjivanja rada Banca Intesa ad Beograd CA, bilo eksternog od strane Nadležnog organa ili internog od strane internih auditora, vrši se provera saglasnosti operativnog rada Banca Intesa ad Beograd CA sa politkama sertifikacije (CP) i ovim praktičnim pravilima rada (CPS), kao i sa internim pravilima rada.


84

8.5 Aktivnosti preduzete kao rezultat utvr ñenih nedostataka

Banca Intesa ad Beograd CA treba da uskladi svoj operativni rad u skladu sa eventualnim nalazima eksternog ili internog auditinga.

8.6 Komunikacija rezultata

Rezultati eksternog ili internog auditing-a su raspoloživi svim korisnicima i trećim strana i javno se publikuju na web sajtu Banca Intesa ad Beograd CA.


85

9. Drugi poslovni i pravni aspekti

9.1 Cene

9.1.1 Cene izdavanja ili obnove sertifikata

Banca Intesa Beograd CA ne naplaćuje korišćenje Banca Intesa Beograd CA izdatih sertifikata korisnicima elektronskih servisa Banca Intesa ad Beograd, i to:

� Internim korisnicima Banke,

� fizičkim licima u home banking sistemu Banke,

� pravnim licima u e-banking sistemu Banke, kao i u drugim aplikacijama za pravna lica (web krediti, Broker assistance, itd.),

� korisnicima sertifikata za informacione resurse.

Banca Intesa Beograd CA zadržava pravo da menja uslove korišćenja sertifikata od strane pomenutih korisnika. Banca Intesa Beograd CA naplaćuje korišćenje Banca Intesa Beograd CA izdatih sertifikata onim korisnicima – trećim licima za koje Banca Intesa Beograd CA outsource-uje odgovarajuću sertifikacionu uslugu. Banca Intesa Beograd CA zadržava pravo da menja cene svojih sertifikata u ovim slučajevima. Objavljivanje cena sertifikata i drugih sertifikacionih usluga se vrši putem web sajta Banca Intesa Beograd CA, partnera Banca Intesa Beograd CA (treća lica) ili putem odgovarajućeg ugovora tamo gde je to primenljivo.

9.1.2 Cena pristupa sertifikatima


9.1.3 Cena pristupa informacijama o statusu sertifi kata


9.1.4 Cene za druge servise



86

9.1.5 Politika povra ćaja novca


9.2 Finansijska odgovornost

9.2.1 Pokrivanje osiguranja

Banca Intesa ad Beograd CA obezbeñuje osiguranje za pokrivanje svih odgovornosti opisanih u CP i ovim CPS i to iskazuje u okviru dogovorenih premija osiguranja koje su raspoložive na Banca Intesa ad Beograd CA repozitorijumu i predstavljaju deo CPS. Banca Intesa Beograd CA ne prihvata nikakvu drugu odgovornost koja izlazi iz pokrivanja definisanog ovim CPS dokumentom.

9.2.2 Druga dobra


9.2.3 Osiguranje ili garancijsko pokrivanje za kraj nje korisnike

Korisnik je dužan da obešteti Banca Intesa Beograd CA u odnosu na bilo koje aktivnosti ili propuste u odgovornosti, bilo koje gubitke ili štetu, kao i za bilo kakve troškove bilo koje vrste, uključujući razumne naknade advokata, koje bi Banca Intesa Beograd CA mogao da ima kao rezultat:

� Bilo kog lažnog ili pogrešno prezentovanog podatka dostavljenog od strane korisnika ili njihovih agenata.

� Bilo kog propusta korisnika da dostavi materijalnu činjenicu da je pogrešna prezentacija ili propust učinjen iz nemarnosti ili sa namerom da se prevari Banca Intesa Beograd CA, ili bilo koje lice koje prihvata informacije u dobijenom sertifikatu.

� Neobezbeñivanja odgovarajuće zaštite korisnikovog privatnog ključa, nekorišćenja bezbednog sistema kako je zahtevano, ili neizvršenja odgovarajućih preventivnih mera neophodnih da se spreči kompromitacija, gubitak, objavljivanje, modifikacija ili neautorizovano korišćenje korisnikovog privatnog ključa, ili napada na integritet Banca Intesa Beograd CA Root privatnog ključa.


87

� Kršenja bilo kojih zakona koji su primenljivi, uključujući one koji se odnose na zaštitu intelektualnih prava, viruse, pristup računarskim sistemima, itd.

9.3 Poverljivost poslovnih informacija


9.3.1 Opseg poverljivih informacija


9.3.2 Informacije koje nisu u opsegu poverljivih in formacija


9.3.3 Odgovornost za zaštitu poverljivih informacij a


9.4 Privatnost i zaštita personalnih informacija

9.4.1 Plan privatnosti

Banca Intesa Beograd CA se pridržava pravila zaštite privatnosti personalnih podataka i pravila poverljivosti kako je propisano u ovom CPS dokumentu, kao i u odgovarajućim zakonskim dokumentima.

9.4.2 Informacije koje se tretiraju kao privatne

Banca Intesa ad Beograd CA tretira privatnim sve informacije koje se odnose na korisnike sertifikata.

9.4.3 Informacije koje se ne smatraju privatnim

Banca Intesa ad Beograd CA ne smatra privatnim samo one informacije korisnika za koje je sam korisnik dao saglasnost da se mogu publikovati. Najčešće se to odnosi samo na podatke koji se sadrže u izdatim elektronskim sertifikatima.


88

9.4.4 Odgovornost za zaštitu privatnih informacija

Banca Intesa ad Beograd CA je odogovorno za zaštitu privatnosti korisnikovih informacija.

9.4.5 Obaveštenje i saglasnost za koriš ćenje privatnih informacija

Banca Intesa ad Beograd CA definiše uslove u vezi objavljivanja privatnih informacija za koje dati korisnik treba da da saglasnost i ti su uslovi objavljeni u ugovoru koji se potpisuje sa korisnikom.

9.4.6 Otkrivanje informacija shodno pravnim i admin istrativnim procesima

Banca Intesa Beograd CA ne objavljuje, niti se zahteva da objavljuje, bilo koju poverljivu informaciju bez autentifikovanog i potvrñenog zahteva od strane:

� Same strane za koju se takva informacija i čuva,

� Odgovarajućeg suda.

Banca Intesa Beograd CA može naplatiti odgovarajuću administrativnu cenu za procesiranje ovakvih objavljivanja. Strane u komunikaciji koje zahtevaju i dobijaju poverljive informacije imaju dozvolu za to na osnovu pretpostavke da će oni te informacije koristiti za zahtevane svrhe, da će ih osigurati od kompromitacije, i da će se uzdržavati od njihovog korišćenja i objavljivanja trećim stranama.

9.4.7 Druge okolnosti za otkrivanje informacija

Banca Intesa Beograd CA telo i njegovi partneri mogu učiniti raspoloživom specifičnu politiku privatnosti u cilju zaštite personalnih podataka aplikanta koji zahteva izdavanje sertifikata od strane Banca Intesa Beograd CA ili njegovog partnera putem njihovih web sajtova i/ili CP ili CPS dokumenata.

9.5 Prava intelektualnog vlasništva

Banca Intesa Beograd CA poseduje i zadržava sva prava intelektualnog vlasništva pridružena svojim bazama podataka, web sajtovima, elektronskim sertifikatima koje izdaje, kao i bilo kojim drugim publikacijama koje na bilo koji način pripadaju ili potiču od strane Banca Intesa Beograd CA, uključujući i ovaj CPS dokument.


89

9.6 Predstavljanje i garancije


9.6.1 CA predstavljanje i garancije


9.6.2 RA predstavljanje i garancije


9.6.3 Korisni čko predstavljanje i garancije


9.6.4 Predstavljanje i garancije tre ćih strana


9.6.5 Predstavljanje i garancije drugih u česnika


9.7 Nepriznavanje garancije


9.8 Ograni čenja odgovornosti

Banca Intesa Beograd CA ne prihvata bilo kakvu drugu odgovornost osim one koja je eksplicitno definisana u ovom dokumentu. Banca Intesa Beograd CA ne može da prihvati odgovornost:

� za bilo kakve konsekvence prouzrokovane ovim CPS dokumentom,

� za aktivnosti koje su izvršene korišćenjem ovih sertifikata,

� za korišćenje ovih sertifikata od strane organizacija i/ili pojedinaca, ili

� za bilo šta drugo što nije eksplicitno opisano u ovom dokumentu.


90

Ni u kom slučaju (izuzev zloupotrebe ili namere) Banca Intesa Beograd CA nije odgovorno za:

� Bilo kakav gubitak profita.

� Bilo kakav gubitak podataka.

� Bilo koju indirektnu ili slučajnu štetu koja je prouzrokovana ili je vezana za korišćenje, isporuku, licencu, performance sertifikata ili elektronskih potpisa.

� Bilo koju transakciju ili uslugu ponuñenu ili u okviru obuhvata ovog CPS dokumenta.

� Bilo koju drugu štetu izuzev onih koje potiču od opravdanog oslanjanja na verifikovane informacije koje se nalaze u izdatom sertifikatu.

� Bilo koju odgovornost koja se pojavila u slučaju greške u verifikovanim informacijama koja je rezultat greške, zloupotrebe ili namere aplikanta.

9.9 Odštete


9.10 Period važnosti i kraj validnosti CPS


9.10.1 Važnost


9.10.2 Kraj validnosti


9.10.3 Efekat završetka i ponovnog rada


9.11 Pojedina čna obaveštenja i komunikacija sa učesnicima



91

9.12 Ispravke


9.12.1 Procedure za ispravku


9.12.2 Mehanizam i period obaveštavanja


9.12.3 Uslovi promene objektnog identifikatora (OID )


9.13 Procedure rešavanja sporova

Banca Intesa Beograd CA se referiše na arbitražu u cilju rešavanja svih sporova koji se odnose na ovaj CPS dokument. Ako se spor ne reši u okviru deset (10) dana nakon inicijalnog obaveštenja shodno pravilima CPS, strane u sporu dostavljaju spor na arbitražu. Arbitraža se sastoji od 3 arbitra, svaka strana predlaže po jednog, dok trećeg predlažu zajedno obe strane u sporu. Mesto za arbitražu je Beograd, Srbija, a arbitri odreñuju sve troškove arbitraže. Za sve sporove koji se odnose na tehnologiju, kao i sporove koji se odnose na sam CPS dokument, strane u sporu prihvataju arbitražno telo koje će biti izabrano od strane vlade Srbije.

9.14 Zakon koji se poštuje

Ovaj CPS je izdat u potpunosti u skladu sa odgovarajućom zakonskom regulativom države Srbije, i to pre svega sa Zakonom o elektronskom potpisu i odgovarajućim podzakosnkim aktima. Sve pravne stvari koje se odnose na Banca Intesa Beograd CA i/ili koji se odnose na sertifikate izdate od strane Banca Intesa Beograd CA će biti procesuirane od strane odgovarajućeg suda u Srbiji.


92

9.15 Saglasnost sa primenljivim zakonima

Ovo poglavlje nije primenljivo u okviru ovog CPS dokumenta.

9.16 Razne odredbe


9.16.1 Kompletan ugovor


9.16.2 Dodeljivanje


9.16.3 Ozbiljnost


9.16.4 Sprovo ñenje pravnog postupka


9.16.5 Viša sila


9.17 Druge odredbe


Documents

Prakti čna pravila rada - Banca Intesa Beograd Intesa ad Beograd Digitrust_cps.pdf · 4.2 Procesiranje aplikacije za dobijanje sertifikata .....38 4.2.1 Izvršavanje funkcije identifikacije