BIP - Biuletyn Informacji Publicznej
Centrum Certyfikacji
2007-09-28 14:19:04
Zapoznanie się z polityką certyfikacji

1. Urzędy certyfikacyjne

 

1.1 Postanowienia ogólne

 

Certyfikacja urzędów następuję na podstawie umowy określającej zakres działania urzędu. Umowa zawierana jest pomiędzy urzędem zlecającym certyfikację oraz Centrum Certyfikacji Ideo. Podpisanie umowy jest jednoznaczne z przyjęciem zasad i działaniem opisanym w niniejszym dokumencie.


1.2 Obowiązki urzędu


Do głównych obowiązków urzędu certyfikacyjnego należy:

  • Przyjmowanie i realizowanie wniosków o wydanie certyfikatu
  • Uwierzytelnianie osób ubiegających się o certyfikat za pomocą urzędu rejestracyjnego
  • Utrzymywanie oraz uaktualnianie listy odwołanych certyfikatów
  • Obsługę procedury odwoływania certyfikatu
  • Ochrona i zachowanie poufności wnioskodawców o certyfikat
  • Przetwarzanie danych wnioskodawców wyłącznie w celach wydania certyfikatu

 

 

2 Odbiorcy/użytkownicy końcowi


W rozumieniu niniejszych zasad odbiorcą końcowym certyfikatu jest osoba ubiegająca się o certyfikat.


Nadzór
Instytucją nadzorującą przebieg procesów certyfikacji, przyznawania certyfikatów, odnawiania oraz unieważniania jest Centrum Certyfikacji Ideo.

 

 

3 Subskrybent centrum certyfikacji


Subskrybent centrum certyfikacji to podległy urząd certyfikacji lub użytkownik końcowy certyfikatu. Podmioty te zobowiązane są do przestrzegania zasad regulaminu a przede wszystkim do ochrony swojego klucza prywatnego. Ponadto subskrybent centrum zobowiązany jest do upoważnienia urzędu certyfikacji do przetwarzania danych osobowych do celów związanych z procedurą certyfikacji oraz wnioskować urząd certyfikacji o odwołanie certyfikatu gdy taka potrzeba nastąpi.

 

 

4 Zaufanie certyfikatom


Przed zaufaniem certyfikatom strona ufająca powinna zapoznać się z niniejszym regulaminem oraz ma obowiązek sprawdzenia statusu certyfikatu.

 

 

5 Repozytorium


Urząd certyfikacyjny zobowiązany jest do utrzymywania ogólnodostępnego repozytorium certyfikatów. Przez repozytorium certyfikatów rozumie się repozytorium do publikowania certyfikatów, repozytorium list unieważnionych certyfikatów, jawnej polityki certyfikacji oraz kodeksu postępowania certyfikacyjnego.

 

 

6 Odpowiedzialność


Urząd certyfikacyjny nie ponosi odpowiedzialności finansowej za certyfikaty wystawione w ramach niniejszego kodeksu postępowania. Użytkownicy końcowi wyrażają na to zgodę w momencie ubiegania się o certyfikat.
Odpowiedzialność urzędu certyfikacyjnego sprowadza się do zagwarantowania niezbędnych środków do ochrony klucza prywatnego urzędu przed naruszeniem bądź utratą. Ponadto w interesie urzędu certyfikacji jest niepodważalne zweryfikowanie tożsamości zamawiającego.
Odpowiedzialność urzędu rejestracji jest ograniczona do zagwarantowania niepodważalnego zweryfikowania tożsamości użytkownika końcowego.

 

 

7 Publikacja danych


Do zadań urzędu certyfikacji należy prowadzenie, utrzymanie i zabezpieczenie repozytorium dostępnego udostępnionego za pomocą serwisu internetowego.


Repozytorium powinno zawierać:

  • Certyfikaty kluczy publicznych użytkowników
  • Aktualną listę odwołanych certyfikatów
  • Niniejszą aktualną politykę certyfikacji

 

 

8 Zapewnienie poufności danych


Podstawowym obowiązkiem urzędu certyfikacyjnego jest poufność. Urząd certyfikacyjny nie może przechowywać kluczy prywatnych użytkowników. Klucz ten po wygenerowaniu i przekazaniu do subskrybenta powinien zostać usunięty z wszystkich nośników danych na których się znajdował. Wszystkie informacje o raz dane o subskrybencie prócz tych wymienionych w certyfikacie lub na liście odwołanych certyfikatów są poufne i powinny być należycie chronione.

 

 

9 Zakończenie działalności urzędu certyfikacji


Wraz z zakończeniem działalności urzędu certyfikacji wszystkie certyfikaty wystawione przez urząd muszą zostać odwołane po uprzednim poinformowaniu zainteresowanych stron. Ponadto z chwilą zaprzestania działalności urząd musi zaprzestać świadczenia usług certyfikacji.

 

 

10 Procedura wydawania certyfikatu


Proces ubiegania się o certyfikat i wydawania certyfikatu jest ściśle połączony ze stroną internetową danego urzędu certyfikacji.

  • Ze strony BIP należy pobrać wniosek o certyfikat.
  • Wypełniony wniosek należy osobiście złożyć w wyznaczonym miejscu w urzędzie oraz okazać dokumenty potwierdzające tożsamość składającego.
  • Jeśli nie ma ku temu żadnych przeciwwskazań certyfikat powinien być wydany od razu.
  • Wnioskodawca przychodzi z swoim nośnikiem danych. Może to być płyta CD, DVD, dyskietka 1.44, PenDrive.

 

 

11 Unieważnienie certyfikatu


Unieważnienie certyfikatu może nastąpić w następujących sytuacjach:

  • Uległy zmianie dane dotyczące wnioskodawcy
  • Nastąpiło naruszenie wiarygodności klucza prywatnego lub istnieje podejrzenie o jej naruszeniu
  • Istnieje podejrzenie o tym że dane zawarte w certyfikacie są niepoprawne
  • Urząd certyfikacji ma uzasadnienie co do takiej decyzji
  • Osoba posiadająca certyfikat na własne życzenie chce unieważnić certyfikat – w tym celu składa odpowiedni wniosek o unieważnienie certyfikatu

 

 

12 Odnowienie certyfikatu


Na 2 tygodnie przed końcem ważności obowiązującego certyfikatu osoba posiadającą certyfikat może ubiegać się o jego odnowienie. Ponowne wystawienie certyfikatu możliwe jest na wyraźną prośbę subskrybenta. Nie można odnowić certyfikatu którego data ważności została przedawniona lub gdy certyfikat został unieważniony.  W takich sytuacjach trzeba przejść procedurę wydawania certyfikatu od początku. 

 

 

13 Procedura w razie utraty lub kompromitacji klucza prywatnego


Jednostka zadająca odwołanie certyfikatu musi zostać uwierzytelniona przez centrum certyfikacyjne. Centrum certyfikacyjne przyjmuje zlecenie odwołania certyfikatu tylko w przypadku gdy jest podpisane cyfrowo za pomoca ważnego certyfikatu. Możliwe jest także odwołanie certyfikatu po dostarczeniu dowodu naruszenia wiarygodności klucza podczas osobistej wizyty w urzędzie certyfikacyjnym.
W uzasadnionych przypadkach urząd certyfikacyjny ma prawo sam podjąć decyzję o odwołaniu certyfikatu.

 

 

14 Procedura oraz częstotliwość publikowania list CRL


Urząd certyfikacyjny co najmniej raz dziennie publikuje listę unieważnionych certyfikatów. Lista odwołanych certyfikatów jest podpisywana cyfrowo przez wystawiający ją urząd certyfikacyjny.

 

 

15 Archiwizacja danych, repozytorium certyfikatów i list CRL


Wszystkie wystawione zlecenia certyfikacji, zlecenie odwołania certyfikatu, certyfikaty oraz listy CRL sa przechowywane w bazie danych urzędu certyfikacyjnego.

 

 

16 Rodzaje archiwizowanych danych


Urząd rejestracyjny archiwizuje wszystkie informacji otrzymane od subskrybenta w procesie rejestracji.

««« powrót
ilość odwiedzin: 0 osób   ires bip | ideo main pagemain pagebackmain pageup