Professional Documents
Culture Documents
ANEX
NORME TEHNICE I METODOLOGICE pentru aplicarea Legii nr. 455/2001 privind semntura electronic
Publicat n Monitorul Oficial cu numrul 847 din data de 28 decembrie 2001
NORME TEHNICE I METODOLOGICE din 13 decembrie 2001 pentru aplicarea Legii nr. 455/2001 privind semntura electronic
CAPITOLUL I: Dispoziii generale
Art. 1 Orice persoan, fizic sau juridic, aflat pe teritoriul Romniei poate beneficia de servicii de certificare n vederea utilizrii semnturii electronice n sensul definit a art. 4 din Legea nr. 455/2001 privind semntura electronic, denumit n continuare lege. Art. 2 (1) n nelesul prezentelor norme tehnice i metodologice, termenii utilizai au urmtoarele definiii: a) client - beneficiarul serviciilor de certificare, care, n baza unui contract ncheiat cu un furnizor de servicii de certificare, denumit n continuare furnizor, deine o pereche funcional cheie public-cheie privat i are o identitate probat printr-un certificat digital emis de acel furnizor; b) hash-code - funcie care returneaz amprenta unui document electronic; c) cheie privat - un cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware i/sau software specializat. n contextul semnturii digitale cheia privat reprezint datele de creare a semnturii electronice, aa cum apar ele definite n lege; d) cheia public - cod digital, perechea cheii private necesar verificrii semnturii electronice. n contextul semnturii digitale cheia public reprezint datele de verificare a semnturii electronice, aa cum apar ele definite n lege; e) mecanismul de creare a semnturii electronice - asupra documentului se aplic o funcie hash-code, obinndu-se amprenta documentului. Printr-un algoritm se aplic cheia privat peste amprenta documentului, rezultnd semntura electronic; f) mecanismul de verificare a semnturii electronice se bazeaz pe utilizarea cheii publice, a funciei hash-code i semnturii electronice primite. Verificarea semnturii este operaie automat;
g) pagina web - document electronic, disponibil prin internet. (2) n nelesul prezentelor norme, abrevierile utilizate au urmtoarele semnificaii: a) ETSI - Institutul European de Standarde n Telecomunicaii; b) RFC - desemneaz documente care au fost supuse analizei publice n cadrul unui proces coordonat de Grupul de Lucru pentru Ingineria Internetului; c) FIPS - desemneaz standarde federale emise de Institutul Naional de Standarde i Tehnologie din Statele Unite ale Americii; d) IEEE - Institutul de Inginerie Electric i Electronic; e) ITSEC - desemneaz standardele i criteriile europene de evaluare a securitii sistemelor informatice; f) RSA - algoritmul de criptare cu cheie public, dezvoltat de cercettorii Rivest, Shamir i Adleman; g) DSA - Algoritmul de Semntur Digital; h) SHA - Algoritm Securizat de Hash-code; i) PKI - Infrastructur de chei publice; j) RTF - format de document ce permite alinierea textului, introducerea unor caractere speciale, utilizarea culorilor i a fonturilor de dimensiuni diferite, precum i inserarea altor obiecte; k) PDF - format ce permite transferarea documentelor electronice fr a afecta aranjarea n pagin; documentele pot conine text, imagini i sunete; l) PostScript - format de document utilizat n specia pentru tiprire la imprimante PostScript. m) TXT - format de document coninnd exclusiv text
recunoscute - ISO/IEC 15408-1, 2, 3 i ISO 17799. n acest sens se utilizeaz o soluie ce asigur managementul unei baze de date replicate, garantndu-se accesul permanent prin Internet. Art. 8 Autoritatea face publice, spre consultare urmtoarele date din registru: a) tipul furnizorului - persoan fizic sau juridic; b) numele sau denumirea furnizorului; c) data la care i-a nceput activitatea; d) cheia public a furnizorului; e) indicaii privind acreditarea - acreditat sau neacreditat; f) perioada de acreditare - nceput/sfrit; g) indicaii privind dreptul de a emite certificate calificate h) descrierea politicii generale a furnizorului; i) forma de organizare a furnizorului - societate comercial, regie autonom, instituie public, organizaie neguvernamental, alte tipuri; j) adresa sau sediul - ar, ora, jude/sector, strad numr, bloc, scar, etaj, apartament, cod potal; k) naionalitatea, pentru persoan juridic; l) cetenia, pentru persoan fizic; m) telefon, fax, e-mail, adres n pagina web; n) categoriile de servicii destinate publicului: tipul de certificate, mod de utilizare, pentru fiecare tip de certificate o) tipurile de dispozitive de creare a semnturii electronice utilizate; p) situaia dispozitivelor - dac sunt omologate sau nu; q) situaia furnizorului: operaional, suspendat, activitatea ncetat, n curs de transferare a activitii, n curs de remediere a unor probleme identificate de autoritate - indicnd termenul limit; r) istoric al furnizorului: data de ncepere a activitii, perioade de suspendare, perioade n care a avut dreptul de a emite certificate calificate, alte asemenea situaii. Art. 9 (1) Informaiile prevzute la art. 8 din prezentele norme tehnice i metodologice sunt disponibile public, prin Internet, n pagina web a autoritii. (2) Pagina web va mai conine informaii cu privire la Legea semnturii electronice, normele tehnice i metodologice privind aplicarea legii semnturii electronice, informaii generale cu privire la utilizarea semnturii electronice, informaii noi din domeniul semnturii electronice, trimiteri ctre paginile web ale furnizorilor de servicii de certificare. (3) Autoritatea va publica permanent tehnologiile Internet prin care se pot consulta informaiile prevzute la alin. (1) i (2).
Art. 11 (1) nainte de nceperea activitii furnizorul va notifica autoritatea, conform formularului prevzut n anexa nr. 2. (2) Toate datele vor fi naintate autoritii pe suport de hrtie i n format electronic, documentul electronic fiind semnat digital de ctre furnizor i prezentat n unul dintre urmtoarele formate: RTF, PDF, TXT i PostScript. Art. 12 (1) nregistrarea n registru se face pe baza unei cereri individuale. (2) La primirea cererii autoritatea include datele furnizorului n registru i genereaz pentru acesta un cod de identificare format prin alipirea anului, lunii i datei de ncepere a activitii i a numrului de ordine al furnizorului. SECIUNEA a 2-a: Furnizarea serviciilor de certificare calificat Art. 13 (1) Furnizorul poate furniza servicii de certificare bazate pe certificate simple i calificate. (2) Certificatul calificat va avea structura conform cu anexa nr. 3, potrivit ETSI TS 101 862 v. 1.2.1. (2001-06), RFC 2459 i cu Recomandrile ITU-T X. 509. (3) Autoritatea va publica eventualele modificri ale formatului descris, pe baza evoluiei tehnologiilor sau a normelor internaionale recunoscute n domeniu. (4) Certificatul are i o rubric de extensii. Lista celor mai uzuale extensii este prevzut n anexa nr. 4. (5) Codul de identificare a certificatului calificat se formeaz prin alipirea codului de identificare a furnizorului a numrului de ordine al certificatului. (6) Codul personal de identificare a semnatarului rezult prin alipirea codului de identificare a furnizorului, iniialele numelui sau pseudonimului semnatarului i numrul de ordine al acestuia n lista clienilor cu aceleai iniiale. Art. 14 (1) n vederea emiterii de certificate calificate furnizorul trebuie s ndeplineasc condiiile enunate la art. 20-22 din lege. (2) Furnizorul trebuie s dovedeasc autoritii c dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfurrii activiti de certificare i trebuie s fie capabil s acopere pierderile suferite de ctre o persoan care i ntemeiaz conduita pe efectele juridice ale certificatelor calificate, pn la concurena echivalentului n lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dac se produc mai multe asemenea prejudicii ca urmare a nendeplinirii de ctre furnizor a unei obligaii prevzute de lege. Furnizorul va trebui s depun o scrisoare de garanie din partea unei instituii financiare de specialitate sau o poli de asigurare la o societate de asigurri, n favoarea autoritii, n valoare ce puin egal cu echivalentul n lei al sumei de 500.000 euro; scrisoarea de garanie are forma prevzut n anexa nr. 5. (3) Furnizorul trebuie s asigure un nivel de securitate a sistemelor, comunicaiilor, tranzaciilor i datelor conform standardelor recunoscute - ISO/IEC 15408-1,2,3; ISO 17799; ETSI TS 101 456 v.1.1.1. (2000-12); ITSEC-E3 FIPS 140-1. (4) Furnizorul trebuie s asigure operarea rapid a registrului de eviden a certificatelor, conform art. 20 lit. b) din lege; structura registrului este prezentat n anexa nr. 6. (5) Furnizorul trebuie s foloseasc numai dispozitive securizate de creare a semnturii electronice. (6) Autoritatea verific datele coninute n documentaia depus, n termen de maximum 10 zile, n raport cu stan dardele recunoscute i cu prezentele norme tehnice i metodologice.
(7) Autoritatea trebuie s informeze furnizorul, n termen de maximum 10 zile, cu privire la ndeplinirea condiiilor s solicite, dac e cazul, completarea documentaiei. (8) n cazul n care toate criteriile sunt ndeplinite, autoritatea emite decizia prin care furnizorul dobndete dreptul de a furniza servicii de certificare calificat i actualizeaz registrul nscriind noul statut al furnizorului. Decizia este comunicat furnizorului pe suport de hrtie i n format electronic, semnat digital de autoritate. (9) Dac documentaia nu a fost completat sau nu ndeplinete condiiile, autoritatea emite o decizie motivat prin care respinge solicitarea furnizorului de a i se acorda dreptul de furnizare de servicii de certificare calificat Decizia este comunicat furnizorului pe suport de hrtie n format electronic, semnat digital de autoritate. Art. 15 n cazul n care nu mai sunt ndeplinite condiiile prevzute la art. 20-22 din lege, autoritatea va lua decizia de suspendare a dreptului furnizorului n cauz de a emite certificate calificate, pn la remedierea neajunsurilor i ndeplinirea tuturor condiiilor legale. Decizia este comunicat furnizorului pe suport de hrtie i n format electronic, semnat digital de autoritate. SECIUNEA a 3-a: Acreditarea voluntar Art. 16 (1) Furnizorul care dorete s i desfoare activitatea ca furnizor acreditat trebuie s solicite obinerea acreditrii din partea autoritii. (2) n acest sens furnizorul trebuie s ndeplineasc toate condiiile necesare emiterii de certificate calificate i s utilizeze dispozitive securizate de generare a semnturii electronice, omologate de o agenie de omologare agreat de autoritate. (3) Verificrile se fac att asupra declaraiilor coninute n documentaia depus la autoritate, ct i asupra concordanei dintre sistemele, procedurile i practicile afirmate i cele existente n realitate. (4) Auditul este realizat de autoritate sau de o ter parte numit de aceasta, conform normelor europene pentru acest gen de activitate. (5) Autoritatea trebuie s informeze n termen de maximum 30 de zile furnizorul cu privire la ndeplinirea condiiilor i s solicite, dac e cazul, completarea documentaiei. Art. 17 (1) n cazul n care se constat c toate criteriile sunt ndeplinite, autoritatea decide acreditarea furnizorului. (2) Decizia de acreditare, condiiile i efectele suspendrii sau ale retragerii sunt comunicate furnizorului pe suport de hrtie i n format electronic, semnat digital de autoritate. (3) La cererea furnizorului autoritatea actualizeaz registrul prin nscrierea noului statut de furnizor acreditat. Se introduc informaii despre garanii, omologarea dispozitivelor, agenia de omologare, perioada de acreditare. Art. 18 (1) Durata acreditrii este de 3 ani i se poate rennoi. (2) Procedura de rennoire este identic cu cea de obinere a acreditrii. Art. 19 Suspendarea deciziei de acreditare se face n urmtoarele cazuri: a) se constat c furnizorul nu mai ndeplinete una sau mai multe dintre condiiile prevzute pentru acordarea deciziei de acreditare. n acest caz autoritatea notific
furnizorului i stabilete un interval de timp de maximum 30 de zile n care furnizorul trebuie s remedieze deficienele semnalate; b) declanarea procedurii falimentului furnizorului. Art. 20 Autoritatea retrage decizia de acreditare n urmtoarele cazuri: a) dac furnizorul nu remediaz deficienele prevzute a art. 19 lit. a), n termenul acordat de ctre autoritate; b) dac intervine o hotrre judectoreasc definitiv i revocabil prin care se declar falimentul furnizorului. SECIUNEA a 4-a: Agrearea ageniilor de omologare Art. 21 (1) Decizia de agreare a ageniilor de omologare se face pe baza unei cereri a ageniei ctre autoritate i n urma verificrii condiiilor menionate n normele europene pentru acest gen de activitate. (2) Decizia de agreare este valabil 1 an i se poate rennoi. (3) Decizia se retrage n cazul n care se constat c agenia nu mai ndeplinete condiiile prevzute la alin. (1) i (2). Autoritatea transmite ageniei o not explicativ n care descrie motivele retragerii deciziei de agreare.
Art. 25 (1) Durata verificrii informaiilor din cerere i a eliberrii certificatului nu poate depi: a) o zi lucrtoare, pentru certificatele simple; b) 5 zile lucrtoare, pentru certificatele calificate. (2) Termenele prevzute la alin. (1) se calculeaz din momentul primirii de ctre furnizorul n cauz a tuturor informaiilor cerute pentru acest scop. Art. 26 Furnizorul nu poate emite un certificat fr consimmntul expres al celui pe numele cruia este emis. Art. 27 Durata valabilitii unui certificat este de maximum 1 an de la data comunicrii ctre client. Art. 28 Certificatul poate fi transmis solicitantului n urmtoarele modaliti: a) personal; b) prin pot, cu confirmare de primire; c) prin pot electronic - numai pentru certificate simple; observaiile, dac exist, se comunic pe aceeai cale furnizorului. Art. 29 Prin acceptarea certificatului clientul: a) i asum responsabilitatea controlului cheii sale private i a lurii unor msuri pentru a preveni pierderea dezvluirea, modificarea sau utilizarea neautorizat a acesteia; b) certific veridicitatea informaiilor coninute n certificat c) se angajeaz s foloseasc certificatul exclusiv n scopuri autorizate, conform legii; d) nu are dreptul de a utiliza cheia sa privat corespunztoare cheii publice listate n certificat, pentru semna rea altor certificate, dect n cazurile n care acest lucru fost prevzut expres n contractul semnat cu furnizorul su Art. 30 (1) Furnizorul gestioneaz direct cheile publice ale clienilor persoane fizice i persoane juridice. Gestionarea cheilor publice presupune implicit acordarea tuturor serviciilor de certificare prevzute n contractul cu clienii. (2) Serviciile de certificare se refer la emiterea, verificarea, suspendarea, rennoirea, revocarea i furnizarea de informaii cu privire la certificatele emise, precum i depozitarea sigur a acestora pe durata valabilitii lor, la care se adaug o perioad de minimum 10 ani de la data ncetrii valabilitii certificatului, conform prevederilor art. 20 lit. h) din lege. (3) Serviciile de verificare a semnturilor electronice se asigur automat, prin Internet, asemenea servicii fiind menionate expres n contract. Art. 31 (1) Arhivele unui furnizor aflat n cazul prevzut la art. 24 alin. (4) din lege sunt preluate de autoritate. (2) Formularul de informare cu privire la ncetarea activitii unui furnizor de servicii de certificare este prevzut n anexa nr. 9. (3) n cazul n care autoritatea dispune ncetarea activitii unui furnizor i nu exist un alt furnizor care s i preia activitatea, aceasta va asigura revocarea certificatelor, dac
nu a fost deja realizat de ctre furnizor, pe cheltuiala furnizorului; autoritatea va prelua i va menine arhivele i registrul electronic, fr conectare permanent a Internet. Art. 32 Un furnizor poate solicita unui alt furnizor eliberarea unui certificat, cel de-al doilea furnizor gestionnd astfel cheia public a primului. Aceast situaie este prevzut n anexa nr. 10.
Art. 38 Dac datele de creare a semnturii sunt generate de un ter, acesta trebuie s utilizeze dispozitive de generare fiabile, protejate mpotriva utilizrii neautorizate. Fiecare acces la dispozitivul de generare a datelor de creare a semnturii trebuie monitorizat. SECIUNEA a 2-a: Sisteme i proceduri utilizate pentru crearea semnturii electronice Art. 39 Autoritatea folosete doar funcia hash-code SHA-1 i algoritmul de criptare RSA. Este interzis utilizarea teoremei chinezeti a resturilor. Art. 40 (1) n vederea obinerii unei semnturi electronice extinse se pot utiliza urmtoarele funcii hash-code a) RIPEMD - 160; b) Funcia SHA-1. (2) Pot fi folosite numere pseudoaleatorii pentru a mr lungimea amprentei documentului. Algoritmii de criptare a amprentei, n cazul semnturii electronice extinse, sunt a) RSA; b) DSA; c) DSA pe curbe eliptice potrivit ISO/IEC 14883-3 anexa A.2.2, IEEE standard P1363, seciunile 5.3.3, 5.3.4 (3) n cazul algoritmilor ce implic numere aleatorii se pot utiliza numere pseudoaleatorii. (4) Se consider echivalente i alte proceduri de creare a semnturii, dac ofer acelai nivel de securitate certificat de un organism autorizat recunoscut. Art. 41 Dac pentru declanarea procedurii de creare a semnturii electronice se folosete o metod de acces anume proiectat pentru a preveni utilizarea neautorizat, codul respectiv nu mai trebuie folosit n alt scop Art. 42 Formatul semnturii electronice trebuie s corespund prevederilor legale n domeniu PKCS#7 Standard de sintax al mesajelor criptate. Art. 43 Rezultatul verificrii unei semnturi electronice extinse este sigur doar dac se utilizeaz un dispozitiv de verificare a semnturii electronice specificat de ctre furnizorul de servicii de certificare care a emis certificatul pe baza cruia se face validarea semnturii. SECIUNEA a 3-a: Certificatele calificate Art. 44 n cazul rennoirii unui certificat calificat se emite un nou certificat cu aceleai date de identificare i de verificare a semnturii electronice, dar cu alte date de valabilitate.
Art. 45 Formatul certificatului calificat, conform art. 13, trebuie s fie descris de ctre furnizor utiliznd un limbaj formal standard - CCITT sau Recomandrile ITU-T X.208 -, ntr-un document ataat notificrii ctre autoritate. Art. 46 Registrul electronic de eviden a certificatelor eliberate trebuie s corespund unui format recunoscut internaional. Urmtoarele standarde sunt recomandate: a) 1988 CCITT (ITU-T) X.500/ISO IS9594; b) RFC 2587 Internet X.509 Infrastructura de chei publice LDAPv2; c) RFC 2587 Internet X.509 Infrastructura de chei publice - certificate i profil CRL; d) RFC 2589 - LDAPv3 Extensii pentru servicii de director dinamic. SECIUNEA a 4-a: Revocarea certificatelor i marcarea timpului Art. 47 Furnizorul trebuie s informeze clienii i terii care pot influena atributele clientului, nscrise n certificatul calificat, cu privire la modul prin care pot solicita revocarea certificatului. Art. 48 (1) Marca temporal dovedete existena unor date la un moment de timp precizat. (2) Prin aplicarea unei astfel de mrci, numit time-stamp, se poate demonstra existena unor informaii la momentul respectiv. (3) Serviciile de marcare temporal pot fi furnizate de furnizor sau de teri, conform standardelor recunoscute - ETSI TS 101 861 tampilare temporal; ETSI TS 101 733 v1. 2.2 (2000-12); RFC3161 Internet X.509 PKI Protocol de tampilare temporal. (4) n vederea menionrii datei i a orei se utilizeaz servicii bazate pe certificate calificate i se folosete data i ora Europei Centrale, inndu-se seama de schimbarea orei - ora de var/iarn. Eroarea maximum admis este de 1 minut.
10
(2) n aceast perioad autoritatea efectueaz verifica rea furnizorului i comunic neajunsurile identificate Autoritatea stabilete un interval de timp de maximum 30 de zile, n care furnizorul trebuie s rezolve problemele cu care se confrunt. (3) Dac furnizorul nu remediaz deficienele n terme nul acordat, autoritatea dispune ncetarea activitii acestuia i/sau retragerea deciziei de acreditare i/sau suspendarea dreptului de a emite certificate calificate, n funcie de problemele identificate i de tipul de servicii oferite de furnizor. (4) n perioada n care are activitatea suspendat, furnizorul are obligaia s asigure serviciile de suspendare revocare i verificare a certificatelor, precum i consultarea prin Internet a registrului electronic, cu excepia cazului n care deficienele se gsesc la nivelul acestor sisteme. Art. 51 n cazurile prevzute la art. 50 alin. (1) lit. d) i e) autoritatea are dreptul de a emite pretenii asupra scrisorii de garanie sau a poliei de asigurare, n limita prejudiciului creat. Art. 52 (1) Dispozitivele de creare a semnturii electronice constituie produse asociate semnturii electronice n sensul art. 4 pct. 15 din lege. (2) Produsele asociate semnturii electronice sunt prezumate s ndeplineasc condiiile prevzute la art. pct. 8 i la art. 20 lit. f) din lege, n cazul n care sun conforme cu cel puin unul dintre: a) standardele romne sau prile relevante ale acestora, care adopt acele standarde europene armonizate ale cror numere de referin au fost publicate n Jurnalul Oficial al Comunitilor Europene, n msura n care condiiile n cauz sunt acoperite de aceste standarde; b) standardele europene armonizate ale cror numere de referin au fost publicate n Jurnalul Oficial a Comunitilor Europene, n msura n care condiiile n cauz sunt acoperite de aceste standarde; c) standardele romne sau prile relevante ale acestora, adoptate potrivit dispoziiilor legale n vigoare, n msura n care condiiile n cauz sunt acoperite de aceste standarde i nu exist standarde romne din categoria celor prevzute la lit. a), care s fie aplicabile. (3) Lista standardelor prevzute la alin. (2) se public prin ordin al ministrului comunicaiilor i tehnologie informaiei. Art. 53 Dispozitivele securizate de creare semnturii electronice, recunoscute ca fiind conforme cu cerinele anexei III a Directivei 1999/93/EC de un organism desemnat de unul dintre statele membre ale Uniuni Europene s efectueze determinri ale conformitii acestor dispozitive, sunt considerate omologate n sensul art. 11 alin. (2) din lege. Art. 54 n conformitate cu art. 40 din lege, certificatul calificat, eliberat de ctre un furnizor nregistrat ntr-unul dintre statele membre ale Uniunii Europene, este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul n Romnia, n baza acordului european de asociere dintre Romnia, pe de o parte, i Comunitatea European i statele membre, pe de alt parte. Art. 55 Anexele nr. 1-10 fac parte integrant din prezentele norme tehnice i metodologice.
11
CONTINUTUL INFORMATIONAL SI STRUCTURA REGISTRULUI FURNIZORILOR DE SERVICII DE CERTIFICARE PENTRU SEMNATURA ELECTRONICA
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29.
Numrul de ordine al nregistrrii, generat automat Cod de identificare furnizor (FSC) Tip furnizor persoan fizic/juridic Denumirea societtii comerciale/ Nume furnizor (pentru persoan fizic) Data la care a nceput activitatea Cheia public a furnizorului Indicatii privind acreditarea (acreditat/ neacreditat) Perioada de acreditare nceput/ sfrsit Indicatii privind dreptul de a emite certificate calificate Descrierea politicii generale a FSC Descrierea sistemelor FSC Codul de proceduri si practici ai FSC Forma de organizare a societaii (SA/ SRL/ Regie Autonom/ Instituie public, organizaie non-guvernamental, alte tipuri) Adresa (tar, ora, judet/ sector, strada, numr, bloc, scar, etaj, apartament, cod potal) Nationalitate Cettenie Telefon, fax, email, adres pagin web Cod registrul comertului/ Cod fiscal ( pentru persoana juridic) Banca furnizorului Numrul contului bancar ai furnizorului Tipul garantiei furnizorului Societatea de asigurri/ Instituie financiar care garanteaz capacitatea financiar a furnizorului Suma asigurat/ Suma acoperit rin scrisoarea de garantie Atribute certificat de bonitate: numr act, data, eliberat de..., verificat de ......, data/ ora verificrii Atribute scrisoare de garantie: numr act, data, eliberat de..., verificat de ......, data/ ora verificrii Atribute contract de asigurare: numr act, data, eliberat de ..., verificat de ......, data/ ora verificrii Atribute contract de inchiriere sediu: numr act, data, eliberat de..., verificat de ......, data/ ora verificrii Atribute act de proprietate sediu: numr act, data, eliberat de..., verificat de ......, data/ ora verificrii Atribute adeverint privind datoriile catre stat: numr act, data, eliberat de verificat de ......, data/ ora verificrii, eliberat de banca prin care firma desfsoara plti si ncasri
12
curente. 30. 31. 32. 33. 34. 35. Categoriile de servicii destinate publicului (tipul de certificate i procedurile de securitate utilizate, structura certificatelor, mod de utilizare, pentru fiecare tip de certificate n parte) Tipurile de dispozitive de creare a semnaturii electronice utilizate Situatia dispozitivelor (dac sunt sau nu omologate) Agentia de omologare (daca e cazul) Atribute atestare tehnic FSC: numr act, data, eliberat de .., verificat de..., data/ ora verificrii Situatii critice: cmp ce poate contine referiri la ultima situaie critic (de exemplu ntreruperea temporara a activitatii FSC din cauza unor probleme tehnice. modificarea procedurilor FSC, sanctiuni etc) Data si ora ultimei actualizari Data si ora ultimei verificri Situatia furnizorului (operaional, suspendat, activitatea ncetat, n curs de transferare a activitii, n curs de identificate de ARS - indicnd termenul limit Motivul suspendrii/ relurii/ ncetrii activittii (daca e cazul) FSC care reia gestiunea certificatelor (in cazul ncetrii activitatii furnizorului) Declaratie ce confirm exactitatea informatiilor de mai sus, semnat electronic de ctre FSC sau/ si ARS Identitatea operatorului din partea ARS care a introdus/ modificat/ sters nregistrarea Un document, nglobnd toate datele anterioare, semnat electronic de operatorul din partea MCIT care a introdus inregistrarea La punctele 10, 11 i 12 furnizorul trebuie s se refere la: a) procedura de solicitare a certificatului; b) tipuri de pseudonime admise, dac e cazul; c) metoda de includere n certificat a atributelor suplimentare; d) orele de program; e) modul de generare a datelor de creare a semnturii furnizorului; f) formatul datelor de creare a semnturii furnizorului; g) procedura de generare a datelor de creare a semnturii clienilor; h) formatul datelor de creare a semnturii clienilor; i) funciile hash i procedurile de criptare folosite; j) lista cuprinznd produsele asociate semnturii electronice folosite i recomandate; k) formatul documentelor ce pot fi semnate electronic l) formatul i perioada de valabilitate a certificatelor; m) standarde tehnice i metode de acces la registru electronic de eviden a certificatelor eliberate; n) intervalele de timp n care se ofer servicii de tampilare electronic a datei i orei, dac este cazul, conform art. 52 din normele tehnice i metodologice; o) metode detaliate de verificare a semnturilor; p) descrierea practicilor, procedurilor i sistemelor care asigur securitatea i integritatea datelor, accesul autoriza permanent la acestea i care previn orice acces neautorizat q) politicile de personal; r) structura personalului; s) parteneriate i politica n domeniu.
13
FORMULAR DE NOTIFICARE CATRE ARS PENTRU FURNIZORII DE SERVICII DE CERTIFICARE PENTRU SEMNTURA ELECTRONIC
Tara bloc Tel Oras etaj Fax Cod fiscal Nr. cont bancar
Tip societate**
Nationalitate _________________ *) Sediul Societtii Comerciale/Adresa persoanei fizic **) S.A., S.R.L., Regie Autonoma Servicii de certificare oferite***
Emitere de certificate Simple Calificate, cu distribuire la client a DSCS**** Calificate, fr distribuire la client a DSCS
Data nceperii activittii Proceduri de securitate utilizate (se vor detalia) Tipuri DSCS utilizate: _________________ ***) Se va rspunde cu "Da" i "Nu" ****) Dispozitiv Securizat de Creare a Semnturii electronice Domeniu Titlu document Semntura electronic Cod domeniu Cod document SMEL 02
FORMULAR DE NOTIFICARE CATRE ARS PENTRU FURNIZORII DE SERVICII DE CERTIFICARE PENTRU SEMNTURA ELECTRONIC
NTIINARE - ANGAJAMENT
Subsemnatul ntiinez Autoritatea de Reglementare i Supraveghere pentru Semntura Electronic (ARS)* referitor la desfurarea serviciilor de certificare menionate n
14
prezentul document, cu ncepere de la data de............. (se va completa obligatoriu data). M angajez s-mi desfor activitatea n conformitate cu prevederile Legii nr. 455 din 18 iulie 2001 privind semntura electronic pe care m oblig s o respect ntocmai, att n litera ct i n spiritul ei. M oblig totodat s respect Normele metodologice romneti privind aplicarea semnturii electronice precum i standardele europene i internationale n domeniu i s comunic clienilor instructiunile practice de certificare, termenele i condiiile de utilizare a semnturii electronice pus la dispoziie de firma mea. Anexez la prezenta urmtoarea documentaie: 1. Contractul de nchiriere sau actul de proprietate pentru sediu. 2. Adeverina din partea Administraiei Financiare de care apartine firma, privind plata la zi a datoriilor ctre Stat. 3. Certificat de bonitate sau scrisoare de garantie din partea bncii prin care firma desfaoar pli i ncasri curente. 4. Copia contractului de asigurare pe numele firmei, la valoarea de 500.000 EURO (numai pentru Furnizorii de Servicii de Certificare acreditai, care elibereaz certificate calificate). 5. Copia Certificatului de garanie (numai pentru Furnizorii de Servicii de Certificare care emit certificate calificate): a. Pentru eliberarea certificatelor calificate depun o garanie din partea unei institutii financiare n favoarea ARS de cel puin 500.000 EURO la banca... i m oblig s acopr prejudiciile pe care le-a putea cauza clientului, pn ta valoarea de 10.000 EURO/risc asigurat sau o poli de asigurare la o societate de asigurare n favoarea ARS de cel puin 500.000 EURo i m oblig s acopr prejudiciile pe care le-a putea cauza clientului, pn la valoarea de 10.000 EURO/risc asigurat 6. Cheia public 7. Politica general a FSC 8. Descrierea sistemelor FSC. 9. Coduri de proceduri i practici a FSC 10. Solicit/ nu solicit acreditarea din partea ARS (se va tia afirmaia care nu rmane valabil). REPREZENTANTUL FIRMEI Data i ora Din partea ARS, primit documentaia menionat
Cod potal
15
Tel Cetenie/Nationalitate ______________ *) Dac este persoan juridic, sediul acesteia Domeniu Titlu document Semntura electronic
Fax
Pagina Web
E_mail
SMEL 03 2
Numele si prenumele1 Pseudonimul Adresa2 Tara de rezident Oras Bloc Cod potal E-mail Alte informatii pe care clientul le dorete a fi cuprinse in certificat Tip certificat Cheia public Codul personal de identificare al semnatarului Cod de identificare al certificatului Extensiile semnturii (vezi Anexa 4 din Normele metodologice privind aplicarea semnturii electronice) Perioada de valabilitate a certificatului Informatii privind limitele utilizrii certificatului SEMNTURA ELECTRONIC EXTINS A FSC EMITENT _____________
1 2
CERTIFICAT CALIFICAT
Pentru persoane juridice se va trece denumirea oficial a organizaiei. Pentru persoane juridice se va trece adresa sediului organizaiei.
16
Extensia
A. Informaii cu privire la chei i politica de certificare AuthorityKeyldentifier Identificator pentru cheia public a autorittii KeyIdentifier Identificator al cheii publice AuthorityCertIssuer Numele emitentului certificatului AuthorityCertSerialNumber Nr. seriei certificatului SubjectKeyIdentifier Identificatorul cheii subiectului KeyUsage Folosirea cheii PrivateKeyUsagePeriod Perioada de utilizare a cheii private CertificatePolicies Politici de certificare PolicyIdentifiers Identificatori de politici de certificare PolicyQualifiers Atributele politicii de certificare PolicyMappings Suprapunerea de politici B. Atribute certificat si FSC SubjectAltName Numele alternativ al subiectului IssuerAltName Numele alternativ al emitentului SubjectDirectoryAttributes Toate Utilizat pentru a lista numele alternative (de exemplu numele RFC822, adresa X400, adresa IP...) Listeaz numele alternative Opional Identific cheia public corespunztoare cheii private utilizat de Furnizorul de Certificare pentru a semna acest certificat Identificator unic, in funcie de algoritmul utilizat Identific autoritatea de emitere a certificatului; mpreun cu numrul seriei, alternativ la identificatorul cheii Utilizat cu Numele emitentului certificatului Identific chei diferite pentru acelai subiect Nu
Toate
Nu
Toate
Nu
Toate Toate
Nu Nu
Toate
Definete scopuri specifice pentru utilizarea cheii (de exemplu, semntura digital, key agreement...) Numai pentru cheile de semntur digital. Semnturile pe documente datate n afara perioadei sunt invalide Identificatori i calificatori ce identific i calific politicile de certificare ce se aplic unui certificat OID = obiectul de identificare a unei politici
Opional
Toate
Opional
Toate
Opional
Toate
Opional
Toate AC
Opional Opional
Toate
Opional
Toate
Opional
17
BasicConstraints Constrangeri de baz CA Autoritatea de Certificare PathLenConstraint Constrngeri privind lungimea cii de certificare NameConstraints Constrangeri privind numele PermittedSubtrees Subarbori permisi ExcludedSubtrees Subarbori exclusi PolicyConstraints Constrtageri ale politicii de certificare PolicySet Set de politici de certificare RequireExplicitPolicy Politici cerute explicit InhibitPolicyMapping Suprapunerea politicilor de inhibare CrIDistributionPoints Punctele de distribuire a LCR DistributionPoint Punct de distribuire Reasons Motive CRLIssuer Emitentul LCR
Toate Toate AC
Constrangeri privind rolul subiectului i lungimea cii Lungimea cii este semnificativ numai dac valoarea lui cA - Adevrat Numarul AC care sunt permise n calea de certificare; 0 indic faptul c AC poate s emit certificate numai ctre entitatea final Limiteaz certificarea AC consecutive referitor la urmtorii doi parametri: PermittedSubtrees si ExcludedSubtrees Numele din afara subarborilor indicai nu sunt permise Indic arborii exclui
DA DA DA
AC
Opitonal
Opional
Toate
Constrange certificate emise de AC la politicile menionate n parametrul urmtor; Acestea se utilizeaz n conjuncie cu al doilea sau al treilea parametru Acele politici de certificare la care se aplic constrngerile Arat numrul de certificate care pot apare n calea indicat, nainte ca o politic explicit s fie ceruta Arat numrul de certificate care pot apare in calea indicat, nainte ca suprapunerea politicilor s mai fie permis Mecanism de divizare a LCR lungi in liste scurte Locaie de la care se poate obine LCR Motive pentru care certificatele sunt incluse in LCR Numele componentei care emite LCR
Opional
Toate
Opional
Toate
Opional
Toate
Opional
"NU" - nseamn c standardul cere ca extensia sa fie necritic "OPIONAL" nseamn c FSC care emite poate s aleag dac extensia este critica sau necritic. "DA" nseamn c standardul "Internet X.509 Public Key Infrastructure - Certificate and Certificate Revocated List Profile" - standard recomandat de ETSI- permite cmpului respectiv s fie critic sau necritic, dar este recomandabil ca acesta s fie considerat critic.
18
A. Date de identificarea clientului Nr. crt. l 2 Categorie de date Persoan fizic/juridic Denumirea persoanei juridice a. Date despre persoana fizic sau reprezentantul legal al persoanei juridice 3 4 5 6 7 8 9 10 11 12 13 14 Numele si prenumele Pseudonimul Cod identificare client Data na terii ZZ/LL/AAAA Locul nasterii b. Adresa persoanei fizice sau a reprezentantului legal al persoanei juridice Tara Orasul Sectorul Strada Nr. Bloc Apt.
19
15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
Cod potal Tel. Fax E_mail c. Adresa sediului persoanei juridice Tara Orasul Sectorul Strada Nr. Bloc Apt. Cod potal Tel. Fax E_mail .
SMEL 06 2
B. Date despre certificat 30 31 32 33 34 35 36 37 38 Cod certificat Categorie certificat (simplu / calificat Data emiterii certificatului Data ncetrii valabilitii certificatului Data ntiinrii expirrii valabilittii certificatului Data expirrii certificatului FSC care preia gestiunea certificatului Dac exist acordul clientului (DA/NU) Data revocrii certificatului C. Certificatul propriu-zis (conform anexei 3)
20
Date obligatorii despre solicitant Numele i prenumele Adresa ara de rezident Strada Etaj E-mail
Date opionale despre solicitant Ora Nr. Apart. Jude/Sector Bloc Cod potal Scara
21
Data emiterii (zz/ll/aaaa) Valabil pan la (zz/ll/aaaa) Valabil pan la Nr. card Data la care expir cardul
Paaport nr
Date opionale despre sot/ soie Numele i prenumel e Data naterii (zz/ll/aaaa) Date despre aplicaii Tip aplicaii (pot electronic, navigare pe web, tranzactii mici i de risc sczut, subscrierea pe web la anumite servicii oferite de teri, etc.) Alte informaii cerute de aplicaiile menionate mai sus
Semntura electronic
SMEL 08 3
INFORMAII PUSE LA DISPOZIIE DE CLIENI N VEDEREA CERTIFICRII APLICAIILOR-CERTIFICAT CALIFICAT - PERSOANE FIZICE
Pseudonimul Data naterii (zz/ll/aaaa) Jude/Sector
Date obligatorii despre solicitant Numele i prenumel e Adresa ara de reziden t Strada Scara Telefon Seria B.I./C.I. Emis de Nr. B.I/ C.I. Valabil pn Apart. Fax
Ora
22
la data de (zz/ll/aaaa) Pasaport nr. Permis auto nr. Tip card Nr. card Emis de Emis de Banca emitenta Data la care expir cardul Data naterii (zz/ll/aaaa) ZZ/LL/AAAA Valabil pan la data Valabil pan la data ZZ/LL/AAAA ZZ/LL/AAAA
Date despre aplicatii Tip aplicaie. pot electronic, navigare pe web, tranzacii de orice tip, transfer de fisiere, validare de software, subscriere pe web la anumite servicii oferite de teri, etc. Alte informaii cerute de aplicaiile menionate mai sus
Semntura electronic
SMEL 08 3
INFORMAII PUSE LA DISPOZIIE DE CLIENI N VEDEREA CERTIFICRII APLICAIILOR - CERTIFICAT CALIFICAT - PERSOANE JURIDICE*
persoana juridica
Date obligatorii despre retrezentantului legal)** Numele domeniului Adresa ara Strada Scara Telefon Nr. H.J i data de nfiinare a persoanei juridice Nr. cod fiscal Denumirea persoanei juridice
(completate
prezenta
Ora Nr. Apart. Fax E-mail Nr. de nregistrare la Registrul Comerului Bloc Cod potal
Date obligatorii despre persoana de contact desemnat de persoana juridic (completate n prezena persoanei de contact) **
23
Numele i prenumele B.I./C.I seria Emis de Paaport nr. Permis auto nr. Tip card Data la care expir cardul Adresa ara Sector/ Judet Bloc Telefon
Functia in cadrul firmei Nr. B.I./C.I Valabil pan la data Emis de Emis de Banca emitent
Data naterii Data emiterii ZZ/LL/AAAA Valabil pan la data Valabil pan la data Nr. card ZZ/LL/AAAA Ora Strada Scara
ZZ/LL/AAAA ZZ/LL/AAAA
ZZ/LL/AAAA ZZ/LL/AAAA
Numele i prenumele
ZZ/LL/AAAA
Tip aplicaie: post electronic, navigare pe web, tranzacii de orice tip, transfer de fiiere, validare de software, subscriere pe web la anumite servicii oferite de terti, etc. Alte informaii cerute de aplicaiile mentionate mai sus _________________ * n cazul modificrii formei sau statutului persoanei juridice, persoana juridic este obligat s rennoiasc contractul cu FSC. **n cazul n care se schimb reprezentantul legal sau persoana de contact, persoanele noi desemnate in aceste funcii sunt obligate s se prezinte la FSC pentru a-i completa datele cerute de FSC.
MACHETA FORMULARULUI DE INFORMARE CU PRIVIRE LA NCETAREA ACTIVITII UNUI FURNIZOR DE SERVICII DE CERTIFICARE
Codul din Registrul FSC ara Strada Scara Jude/Sector Nr. Apart.
24
Data la care a instiintat ARS Numele FSC care va prelua activitatea Nr. de inreg. in Registrul Comertului Adresa FSC rare va prelua activitatea
ZZ/LL/ AAAA
Motivele ncetrii activitatii (existenta i natura mprejurrii care justific ncetarea activitii, conf. art. 24, alin. 1 din Lege) Codul din Registrul Furnizorilor de Servicii Codul fiscal
Revocarea certificatelor eliberate clienilor (Lista certificatelor revocate) - se var completa datele din Tabelul 1 Preluarea certificatelor eliberate clienilor (Lista certificatelor preluate) - se vor completa datele din Tabelul 2 Masurile luate pentru asigurarea arhivelor referitoare la clieni i la certificatele emis, precum i pentru asigurarea prelucrrii datelor personale n condiiile Legii (conform art. 24 aliniatul 4 din Lege) Cod domeniu Cod document Pag SMEL 09 3
Semntura electronic
TABELUL 2 - Lista certificatelor valide preluate Seria certificatului Data i ora emiterii ZZ/LL/AAAA hh/mm Algoritmul semnturii Versiunea Data la care expir valabilitatea certificatului
25
26