Microsoft Word - e-SLOG_Priporocila_za_izdelavo_varnostne_politike_e-podpisa_1.0__Hermes Plus_.doc

Podobni dokumenti
Halcom_CA_FO_standard

PowerPoint Presentation

Diapozitiv 1

Halcom CA PO 2

Microsoft Word - Pogodba-SI-TSA-v7.doc

Slajd 1

C(2019)1789/F1 - SL

kodeks_besedilo.indd

Microsoft PowerPoint - IMS-INFO-GZS ppt

Microsoft Word - DGSF - Preverjanje veljavnosti ZPIZ e-dokumentov - V.1.0

Halcom CA PO e-signature 1

EU-TPD 1 PODROBNOSTI KODIRANJA Informacije za trgovino JB za DCTA, (Final 1.2) Obveznost kodiranja izdelka, urejena s predpisom EU-TPD se n

PowerPointova predstavitev

Document ID / Revision : 0519/1.3 ID Issuer System (sistem izdajatelja identifikacijskih oznak) Navodila za registracijo gospodarskih subjektov

NAVODILA ZA IZPOLNJEVANJE ELEKTRONSKEGA OBRAZCA ZA PRIJAVO IN PREKLIC DIGITALNIH POTRDIL Verzija Datum Opis sprememb dokumenta dokumenta

Mnenje Evropskega nadzornika za varstvo podatkov o predlogu uredbe Evropskega parlamenta in Sveta o državljanski pobudi

Microsoft PowerPoint - 07-bostjan_tavcar.ppt

PowerPointova predstavitev

Na podlagi prvega odstavka 157. člena in 2. točke prvega odstavka 501. člena Zakona o zavarovalništvu (Uradni list RS, št. 93/15) Agencija za zavarova

SMERNICE O PRITOŽBENIH POSTOPKIH GLEDE DOMNEVNIH KRŠITEV DIREKTIVE (EU) 2015/2366 EBA/GL/2017/13 05/12/2017 Smernice o pritožbenih postopkih glede dom

OBÈINA DOBREPOLJE Videm 35, Videm-Dobrepolje tel fax

EVROPSKA KOMISIJA Bruselj, C(2018) 7597 final IZVEDBENA UREDBA KOMISIJE (EU) / z dne o vzpostavitvi začasnega neposrednega stati

DELEGIRANA UREDBA KOMISIJE (EU) 2016/ z dne 2. junija o dopolnitvi Uredbe (EU) št. 600/ Evropskega parlamenta i

Kazalo.pmd

19. junij 2014 EBA/GL/2014/04 Smernice o usklajenih opredelitvah in predlogah za načrte financiranja kreditnih institucij na podlagi priporočila A4 ES

COM(2014)596/F1 - SL

IZVEDBENI SKLEP KOMISIJE - z dne marca o določitvi meril za ustanavljanje in vrednotenje evropskih referenčnih mrež in

EVROPSKA KOMISIJA Bruselj, C(2018) 6665 final IZVEDBENI SKLEP KOMISIJE (EU).../ z dne o določitvi ukrepov za pripravo seznama os

Microsoft Word - P-2_prijava

Priloga II Modul A: Izjava o skladnosti na podlagi notranje kontrole proizvodnje 1. Izjava o skladnosti na podlagi notranje kontrole proizvodnje je po

Svet Evropske unije Bruselj, 3. junij 2019 (OR. en) Medinstitucionalna zadeva: 2019/0090 (NLE) 8928/19 PECHE 221 ZAKONODAJNI AKTI IN DRUGI INSTRUMENTI

Impact assessment Clean 0808

Caterpillar Inc. 100 NE Adams Street, Peoria, IL ZDA Št. gradiva U9NT8460 Operativni dokument Dodatne informacije Informacije o skladnosti s pre

Prezentacija Telekoma Slovenije

SETCCE Uporabniška navodila za namestitev in upravljanje komponente SETCCE proxsign v2.0.5 za MAC OS X [Nova generacija komponent SETCCE proxsign ] Id

Smernice Sodelovanje med organi na podlagi členov 17 in 23 Uredbe (EU) št. 909/ /03/2018 ESMA SL

uredba_slo.doc

Microsoft Word - P-2_prijava

EVROPSKA KOMISIJA Bruselj, C(2017) 6537 final DELEGIRANA UREDBA KOMISIJE (EU) / z dne o dopolnitvi Uredbe (EU) 2016/1011 Evropskeg

Svet Evropske unije Bruselj, 11. avgust 2017 (OR. en) Medinstitucionalna zadeva: 2017/0188 (NLE) 11653/17 FISC 173 PREDLOG Pošiljatelj: Datum prejema:

Microsoft Word - ponudba_programski_paket

EVROPSKA KOMISIJA Bruselj, C(2019) 2962 final IZVEDBENA UREDBA KOMISIJE (EU) / z dne o zagotavljanju nemotenega delovanja elektron

NOVOSTI NA PODROČJU HARMONIZIRANIH STANDARDOV V OKVIRU DIREKTIV NOVEGA PRISTOPA Pripravila: Enisa Šmrković, mag., Kontaktna točka SIST V 6. členu Zako

c_ sl pdf

Sklep Sveta z dne 16. junija 2011 o podpisu in sklenitvi Sporazuma med Evropsko unijo in Medvladno organizacijo za mednarodni železniški promet o pris

ZAHTEVA ZA UVELJAVLJANE PRAVIC POSAMEZNIKA V POVEZAVI Z NJEGOVIMI OSEBNIMI PODATKI Pošta Slovenije skladno z veljavno zakonodajo na področju varstva o

PowerPoint-Präsentation

bob p. p Ljubljana Tel.: (cena klica na minuto je 1 z DDV) Posebni pogoji uporabe storitve moj bob

Uradni list RS - 102/2015, Uredbeni del

NASLOV PREDAVANJA IME IN PRIIMEK PREDAVATELJA

Uredba Komisije (EU) št. 1179/2012 z dne 10. decembra 2012 o merilih za določitev, kdaj odpadno steklo preneha biti odpadek na podlagi Direktive 2008/

JAVNO ZBIRANJE PONUDB 1. PODATKI O NAROČNIKU Naročnik: Javni zavod ŠKTM za šport, kulturo, turizem in mladino Radlje ob Dravi Naslov: Mariborska cesta

Politike in postopki razvrščanja strank

Na podlagi prvega odstavka 42. in 54. člena Zakona o zunanjih zadevah (Uradni list RS, št. 113/03 - uradno prečiščeno besedilo, 20/06 - ZNOMCMO, 76/08

EIOPA-BoS-14/167 SL Smernice o pomožnih lastnih sredstvih EIOPA Westhafen Tower, Westhafenplatz Frankfurt Germany - Tel ; Fa

Navodilo za izpolnjevanje obrazca M-2 (maj 2015) Kazalo vsebine Podatki o ZAVEZANCU... 3 Rubrika 1 Firma in sedež/osebno ime in prebivališče... 3 Rubr

AM_Ple_LegReport

2019 QA_Final SL

Splošni pogoji poslovanja 1. Uvodna določba 1) Splošni pogoji poslovanja so pravni dogovor med končnim uporabnikom (fizična ali pravna oseba, v nadalj


Microsoft Word - SL Opinion CON_2014_39 on public access to specific information related to bad loans of certain banks.doc

PRAKTIČNI NAPOTKI ZA KAKOVOSTNA POJASNILA V IZJAVAH O UPRAVLJANJU November 2016

SMERNICE O DOLOČITVI POGOJEV ZA FINANČNO PODPORO V SKUPINI EBA/GL/2015/ Smernice o določitvi pogojev za finančno podporo v skupini iz čle

Evropska centralna banka (ECB)

Pogoji poslovanja Catena.si je spletna trgovina podjetja Catena d.o.o.. Pogoji poslovanja so sestavljeni upoštevajoč vse zakonske obveznosti in mednar

Na podlagi 2. točke 17. člena Zakona o športu (Uradni list RS, št. 29/2017), 2. in 6. člena Pravilnika o sofinanciranju letnega programa športa v Mest

TEHNIČNA DOKUMENTACIJA

OBRAZEC ''PRIJAVA''

NACIONALNO POROČILO O NEVTRALNOSTI INTERNETA

Microsoft Word - P-2_prijava

DSI 2019

21. PEDAGOŠKA FAKULTETA Kardeljeva ploščad 16, 1000 Ljubljana, Več informacij na: Kontakt: Referat Pedagoške fakultete

AM_Ple_LegReport

Naročnik:

1. Obrazci 1.1 Obrazec št. 1 Podatki o ponudniku Ponudnik: Poslovni naslov: Naročnik: Poslovni naslov: Komunala Kočevje, d.o.o. Tesarska ulica 10, 133

Ali je varno kupovati ponarejeno blago?

untitled

C(2016)3544/F1 - SL

SL SL SL

Sistemi sledljivosti in varnostni elementi za tobačne izdelke v EU

GMP in HACCP S skrbno izbranimi dobavitelji z dolgoletnimi izkušnjami na farmacevtskem trgu in na trgu s kozmetiko se lahko izvor vseh izdelkov ESSENS

Svet Evropske unije Bruselj, 9. junij 2016 (OR. en) 10005/16 IZID POSVETOVANJA Pošiljatelj: Datum: 9. junij 2016 Prejemnik: generalni sekretariat Svet

DELEGIRANA UREDBA KOMISIJE (EU) 2018/ z dne 13. julija o dopolnitvi Uredbe (EU) 2016/ Evropskega parlamenta in S

Porevizijsko poročilo o popravljalnih ukrepih Ministrstva za pravosodje

Opozorilo: Neuradno prečiščeno besedilo predpisa predstavlja zgolj informativni delovni pripomoček, glede katerega organ ne jamči odškodninsko ali kak

Številka:

Številka: /2019 Datum: Vzpostavitev Registra transakcijskih računov v AJPES Pojasnila k vsebini posameznih podatkov v RTR Pripravil

PRAVILA IN POSTOPKI ZA ZAMENJAVO BANKE Informacije za stranke Ljubljana, februar

Microsoft Word - Posebni pogoji za uporabo storitev Google _DONE_.doc

1. IME IN KODA POKLICNEGA STANDARDA MLADINSKI DELAVEC/MLADINSKA DELAVKA POKLICNI STANDARD čistopis IME IN KODA POKLICA Klasius-P: Osebnost

CODEKS IP KAMERA

Vsebina in pogoji za sodelovanje v akciji»toplotne črpalke 2013«1. UVODNA DOLOČILA Vsebina in pogoji za sodelovanje v akciji»toplotne črpalke 2013«(v

Uradni list Evropske unije

KM_C

Opozorilo: Neuradno prečiščeno besedilo predpisa predstavlja zgolj informativni delovni pripomoček, glede katerega organ ne jamči odškodninsko ali kak

OBRAZEC DR-02 Prijava za vpis fizične osebe v davčni register Priloga 1 1. Davčna številka (pri prvi prijavi izpolni FURS) 2. Osebno ime Ime Priimek 3

EVROPSKA KOMISIJA Bruselj, COM(2017) 735 final 2017/0328 (COD) Predlog UREDBA EVROPSKEGA PARLAMENTA IN SVETA o spremembi Uredbe (ES) št. 72

Transkripcija:

Projekt e-slog Elektronsko poslovanje slovenskega gospodarstva A2 Priporočila za izdelavo varnostne politike e- podpisa Verzija 1.0 junij 2004

STANJE DOKUMENTA Namen dokumenta: Dokument vsebuje opis in priporočila vsebine Politike e-podpisa Kratek naziv projekta: e-slog e-podpis Vsebina: Glej "Vsebina" Status: Objavljena verzija Verzija: 1.0 Datum verzije: junij 2004 Avtorji: S&T Hermes Pus d.d. Naslovniki: Dušan Zupančič (GZS), dusan.zupancic@gzs.si Ariana Grobelnik (GZS), ariana.grobelnik@gzs.si Samo Grčman (GZS), samo.grcman@gzs.si Dr. Aleš Dobnikar (CVI), ales.dobnikar@gov.si Dr. Alenka Žužek (CVI), alenka.zuzek@gov.si Rudi Ponikvar (S&T Hermes Plus), rudi.ponikvar@hermes-plus.si Tine Prislan (S&T Hermes Plus), tine.prislan@hermes-plus.si Roman Puhek (Crea), roman.puhek@crea.si Matej Trampuš (Crea), matej.trampus@crea.si Igor Lesjak (Crea), igor.lesjak@crea.si Aljoša Blažič (SETCCE), aljosa@setcce.org Gašper Lavrenčič (SETCCE), gasper@setcce.org Dr. Tomaž Klobučar (SETCCE), tomaz@setcce.org Boštjan Berčič (Institut za pravno informatiko), bostjan.bercic@ipri-zavod.si Vesna Ilič (IBM), vesna.ilic@si.ibm.com Milan Spalevič (IBM), milan.spalevic @si.ibm.com Zgodovina verzij: Glej "Verzija" Verzija Datum spremembe Opombe 1.0 10. junij 2004 Stran 2

VSEBINA 1. Uvod 4 1.1. Področje, namen in organizacija poglavja 4 1.2. Mednarodni standardi in priporočila 4 2. Pravna analiza 5 3. PRIPOROČILA ZA IZDELAVO POLITIKE ELEKTRONSKEGA PODPISA (E-PODPISA) 5 3.1. Politika e-podpisa kontrolna lista 6 4. Terminološki slovar 8 5. Priloge 9 6. Izjava o skladnosti s temi priporočili 9 7. Dodatni viri 9 Stran 3

1. UVOD Zagotavljanje varnosti elektronskega poslovanja izpostavlja potrebo po razširitvi nabora podatkov, ki služijo kot osnova za oceno veljavnosti digitalnega podpisa. Elektronsko poslovanje omogoča določitev pogojev pod katerimi je digitalni podpis veljaven in postane zavezujoč v določenem poslovnem kontekstu. Pravila, kot so namen uporabe e-podpisa, tehnične zahteve, proceduralna pravila, odgovornosti, morebitne omejitve, itd., se zapišejo v poseben dokument Politika e-podpisa. 1.1. Področje, namen in organizacija poglavja V dokumentu navajamo: priporočila, ki opisujejo vsebino politike e-podpisa v tekstovni obliki. Ciljna publika poglavja so - predvsem slovenska podjetja, ki želijo v svoje poslovne procese integrirati elektronski podpis, manj pa - ponudniki programske opreme, ki vključuje elektronski podpis. Namen poglavja je navesti praktična priporočila na podlagi mednarodnih standardov in priporočil, ki bodo ciljni publiki olajšala izdelavo politike e-podpisa. Poglavje je organizirano na naslednji način: - v nadaljevanju uvodnega dela navajamo priporočila in standarde, priporočila, ki urejajo področje politike e- podpisa; - v poglavju 2 podajamo pravno analizo vloge politike e-podpisa v elektronskem podpisovanju; - v poglavju 3 je podan povzetek vsebine in opis točk politike e-podpisa v okviru praktičnega kontrolnega seznama; - terminološki slovar pojasnjuje pojme, ki se v poglavju uporabljajo. 1.2. Mednarodni standardi in priporočila Celovitost podatkov in nezatajljivost sta kritična elementa varnega elektronskega poslovanja. To dejstvo je bilo potrjeno tudi z pravno formalno ureditvijo elektronskega poslovanja. Področje elektronskega poslovanja je pravno formalno urejeno na več nivojih. V okviru držav EU zakonodajno področje elektronskega poslovanja urejajo ustrezne direktive evropskega parlamenta in komisije združenih narodov. Poleg teh pa ima večinoma vsaka članica EU tudi svojo nacionalno zakonodajo. V Evropski uniji pripravlja standarde in priporočila s področja telekomunikacij in informacijske tehnologije European Telecommunications Standards Institute (ETSI). ETSI je neprofitna organizacija, katere poslanstvo je priprava standardov in priporočil za področje Evrope, ki bodo služili kot smernice razvoja telekomunikacijskih storitev in informacijske tehnologije v prihodnje. V ETSI sodelujejo predstavniki uprave, operaterji, podjetja, ponudniki storitev, raziskovalne ustanove in uporabniki. ETSI igra tudi pomembno vlogo pri razvoju širokega spektra standardov in tehnične dokumentacije, ki predstavlja evropski prispevek k svetovni standardizaciji na področju telekomunikacijske in informacijske tehnologije. ETSI je uradno priznan s strani Evropske komisije in sekretariata EFTA. V nadaljevanju je naštetih nekaj ETSI priporočil s področja elektronskega poslovanja. ETSI priporočila s področja upravljanja infrastrukture digitalnih potrdil: Policy requirements for certification authorities issuing qualified certificates - TS 101 456 v 1.2.1 (april 2002), Qualified Certificate Profile - TS 101 862 v 1.2.1 (junij 2001), Policy requirements for certification authorities issuing public key certificates - TS 102 042 (april 2002), International Harmonization of Policy Requirements for CAs issuing Certificates - TR 102040 (marec 2002). ETSI priporočila glede storitve časovnega žiga: Policy requirements for time-stamping authorities - TS 102 023 (april 2002), Stran 4

Time stamping profile - TS 101 861 v1.2.1 (marec 2002). ETSI priporočila glede digitalnega podpisa: Signature Policies Report - TR 102 041 (februar 2002), XML Advanced Electronic Signatures (XAdES) - TS 101 903 (februar 2002), Electronic Signature Formats - TS 101 733 v 1.3.1 (februar 2002), XML format for signature policies - TR 102 038 (april 2002). Signature Policy for Extended Business Model TR 102 045 STF 209-T1 (nov. 2002) - osnutek. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures ETSI SR 002 176 V1.1.1 (2003-03) posebno poročilo. V Sloveniji ureja področje elektronskega podpisa Zakon o elektronskem poslovanju in elektronskem podpisu (Ur.l. RS, št. 57/2000, 30/2001), s pripadajočo Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Ur.l. RS, št. 77/2000, 2/2001), ki usklajen z Direktivo 1999/93/EC in z določili Modelnega zakona Komisije OZN za mednarodno gospodarsko pravo (UNCITRAL) o elektronskem poslovanju in enotnimi pravili za elektronske podpise ter z določili primarne evropske zakonodaje. 2. PRAVNA ANALIZA V predpisih na območju Republike Slovenije (Zakon o elektronskem poslovanju in elektronskem podpisu (Ur.l. RS, št. 57/2000, 30/2001), Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Ur.l. RS, št. 77/2000, 2/2001)), področje Politike e-podpisa ni posebej urejeno, zato se pričujoči dokument v skladu z Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Ur.l. RS, št. 77/2000, 2/2001), 2. člen, naslanja na standarde in priporočila, ki so splošno priznani v Evropski uniji. 2. člen Ne glede na določbe drugih členov te uredbe, strojna in programska oprema ter postopki izpolnjujejo merila in pogoje po tej uredbi, če so v skladu s standardi, merili ali pogoji, ki so splošno priznani v Evropski uniji in objavljeni v Uradnem listu Evropskih skupnosti. 3. PRIPOROČILA ZA IZDELAVO POLITIKE ELEKTRONSKEGA PODPISA (E-PODPISA) Politika e-podpisa je nabor pravil za ustvarjanje in preverjanje e-podpisa. Politika e-podpisa je lahko zapisana v formalni obliki, kot je ASN.1, ali pa v neformalni tekstovni (berljivi) obliki. Z njo morajo biti seznanjeni vsi udeleženci procesa (podpisnik-stranka, tretje osebe itd.) in jo morajo upoštevati tako v fazi ustvarjanja e-podpisa, kot tudi v fazi preverjanja. S tem zagotovimo, da lahko v slučaju spora, razsodnik preveri veljavnost e-podpisa in če je bil uporabljen skladno z dogovorjeno politiko. Uporabniki morajo izkazati svojo soglasnost s pogoji politike e-podpisa. Soglasnost je lahko podana skozi sporazum med izdajateljem politike in uporabnikom ki priznava obveze, ki izhajajo iz politike e-podpisa. Politika e-podpisa je lahko vključena v podpisani dokument: eksplicitno, če obstaja politika v obliki dokumenta in je objavljena na način, ki omogoča eksplicitno sklicevanje nanjo; implicitno, če strani v poslovnem procesu vedno uporabljajo isto politiko in je privzeto oziroma dogovorjeno, da je podpis veljaven če je v skladu s to politiko, razen če je navedeno drugače. Implicitna referenca na določeno politiko e-podpisa se tako privzame če v e-podpisu, oziroma dokumentu, ni navedeno nasprotno, oziroma ni navedena referenca na drugo politiko e-podpisa. Politika e-podpisa je lahko implicitna tudi če je vgrajena v tehnična sredstva za ustvarjanje podpisa in tako transparenta za uporabnika. Oseba, ki preverja e-podpis, mora pred preverjanjem poznati določila politike e-podpisa. Le-ta mora biti dostopna v tekstovni obliki ali predstavljena na način, ustrezen za avtomatsko procesiranje s strani sistema (npr. ASN.1, XML). Iz Politike e-podpisa morajo biti razvidni pogoji pod katerih mora biti podpis ustvarjen in pod katerimi se preverja, da se Stran 5

lahko sprejme kot veljaven. V nadaljevanju je kot kontrolni seznam podan pregled vsebina Politike e-podpisa v tekstovni (berljivi) obliki. 3.1. Politika e-podpisa kontrolna lista Oblika politike e-podpisa. Politika e-podpisa je uporabljena v različnih fazah procesa. Z njo se mora seznaniti podpisnik, da se prepriča da je prava za namen in kontekst podpisa. V tej fazi mora biti politika na razpolago v berljivi obliki, tako da je lahko na razumljiv način prikazana podpisniku. Ko uporabnik izbere določeno politiko, mora biti v skladu z njo izveden elektronski podpis, kar pomeni, da mora biti politika na razpolago tudi v obliki, ki jo lahko uporabi aplikacija za ustvarjanje elektronskega podpisa. Ko elektronsko podpisan dokument prejme stran kateri je bil namenjen, oziroma stran, ki preverja veljavnost podpisa, mora biti možno direktno, ali indirektno prepoznati katera politika je bila uporabljena v fazi ustvarjanja podpisa, tako da je lahko v skladu z njo izveden postopek preverjanja veljavnosti podpisa. Politika mora biti zopet na voljo v berljivi obliki, da jo lahko v razumljivi obliki prikazana osebi, ki preverja podpis in v obliki, ki jo lahko uporabi aplikacija s katero se podpis preverja. To pomeni, da mora bit Politika e-podpisa na razpolago v sledečih oblikah: - v obliki razumljivi ljudem, oziroma berljivi obliki - v obliki, primerni za procesiranje s strani aplikacij. V ta namen, je politika lahko vgrajena v samo aplikacijo, ali pa na voljo v primerni obliki (na primer RFC3125 ASN.1 obliki). Splošne informacije. Sekcija vsebuje sledeča polja: - identifikacijska oznaka (Signature Policy Indentifier), ki vsebuje edinstveno oznako politike e-podpisa; - datum izdaje; - ime izdajatelja; - področje uporabe politike, ki vsebuje splošne zakonske in pogodbene pogoje, ter kontekst in namen uporabe e-podpisa po pričujoči politiki; - dodatna razširitvena polja (če je potrebno), ki vsebujejo ostale informacije v zvezi z uporabo e-podpisa v kontekstu pričujoče politike. Preverjanje e-podpisa. Prejemnik elektronsko podpisanega dokumenta je obvezen preveriti veljavnost e-podpisa preden uporabi dokument, ali informacije iz dokumenta. Stran ki preverja veljavnost e-podpisa (npr. prejemnik) zbere podatke potrebne za preverjanje veljavnosti digitalnih potrdil in e-podpisa. Preverjanje podpisa je lahko izvedeno interaktivno (aktivno sodelovanje prejemnika), ali pa avtomatizirano (vgrajeno v informacijski sistem). Politika e-podpisa mora vsebovati sekcijo Politika preverjanja e-podpisa z opisom predpisanega postopka preverjanja veljavnosti e-podpisa. Politika preverjanja e-podpisa. Politika preverjanja e-podpisa določa pravila, ki jih je potrebno upoštevati za preverjanje veljavnosti e-podpisa. Določa katere podatke mora podpisnik vključiti v e-podpis in katere podatke mora stran ki preverja e-podpis preveriti, da se lahko privzame da je e-podpis potencialno veljaven. Stran 6

V politiko se lahko vključi pravila za nabor dokumentov. V tem primeru se poda skupna pravila za vse dokumente, ter pravila specifična za določen dokument, ali določen namen (prevzeto obvezo) e-podpisa. Politika preverjanja e-podpisa lahko vsebuje: - nabor pravil, ki so skupna za vse dokumente in namene; in - nabor pravil, ki so specifična za določen dokument, ali namen. Vsebina Politike preverjanja e-podpisa je napisana kot: - nabor pravil, ki so skupna za vse dokumente in namene. Ta pravila določajo pogoje zaupanja v digitalna potrdila, časovni žig in atribute, skupaj z morebitnimi omejitvami glede atributov, ki smejo biti vključeni v e- podpis. - nabor pravil za določen dokument in namen, ki določajo pogoje zaupanja v digitalna potrdila, časovni žig in atribute, skupaj z morebitnimi omejitvami glede atributov, ki smejo biti vključeni v e-podpis. Podatki za preverjanje e-podpisa. Izdajatelj politike e-podpisa določi kateri podatki morajo biti, oziroma so lahko vključeni v e-podpisa in katera pravila morajo biti upoštevana. Med podatke za preverjanje e-podpisa sodijo: - pravila za uporabo oziroma priznavanje overiteljev; - pravila ki se tičejo uporabniških digitalnih potrdil (npr. veljavni OID-ji politik overiteljev pod katerimi so bili izdani); - pravila za ugotavljanje ali je bil e-podpis ustvarjen v času, ko je bilo digitalno potrdilo veljavno (npr. z uporabo časovnega žiga ali oznake); - obdobje opreznosti (npr. politika lahko določi, da je podpis veljavne šele po preteku določenega časa, po katerem se lahko z visoko verjetnostjo trdi, da je bilo digitalno potrdilo v času podpisa veljavno); - pravila za preverjanje statusa digitalnih potrdil (npr. uporaba CRL); - pravila za zaščito e-podpisa v primeru razkritja overiteljevega ključa, ali slabosti uporabljenih algoritmov; - pravila za okolje, ki ga mora uporabljati podpisnik (npr. obvezna uporaba pametne kartice, protivirusna zaščita,...); - podatki, ki jih mora pridobiti stran, ki preverja veljavnost podpisa; - morebitne omejitve uporabe algoritmov in dolžine ključev; - pravila za vloge (funkcije) podpisnikov; - zahteve za preverjanje verige zaupanja med digitalnimi potrdili (certificate chain). Identifikacijska oznaka politike e-podpisa Edinstvena identifikacijska oznaka je potrebna za razločevanje med politikami v določenem poslovnem kontekstu. Izdajatelj lahko da podpisniku le identifikacijsko oznako politike, ali pa oznako in politiko. Ker v določenih primerih ni praktično dajati celega dokumenta, se lahko navede le kazalec na dokument, oziroma lokacijo kjer se politika nahaja. V tem primeru ni dovolj, da damo uporabniku le identifikacijsko oznako (OID). Za nedvoumno identifikacijo politike, je potrebno podati zgoščeno vrednost (hash) politike e-podpisa in oznako uporabljenega algoritma zgoščevalne funkcije., Informacije, ki podajajo referenco na politiko e-podpisa tako tipično vsebujejo: - edinstven OID politike e-podpisa; - URL kazalec na dokument, ali lokacijo kjer se nahaja kopija politike e-podpisa; - zgoščeno vrednost (hash) politike e-podpisa; - oznako uporabljenega algoritma zgoščevalne funkcije. Objava politike e-podpisa Politika e-podpisa mora biti v času veljavnosti objavljena na način, ki omogoča da je dostopna vsem stranem v procesu (uporabnikom ki podpisujejo in uporabnikom ki preverjajo veljavnost podpisa). Politika e-podpisa se Stran 7

običajno objavi na spretni strani in je lahko dostopna preko http, ali https protokola. Obstajati mora tudi način, na katerega lahko uporabnik ugotovi, da je politika avtentična. Nekaj najbolj pogostih oblik objave politike: - politika je objavljena na strežniku, do katerega je možen dostop preko protokola SSL; - besedilo politike je vgrajeno v aplikacijo, ki ji uporabnik zaupa in katere izvor pozna; -»tradicionalna«različica politike je natisnjena na papirju in potrjena z žigom ali navadnim podpisom; Arhiviranje politike e-podpisa Politika e-podpisa mora biti dostopna tudi po poteku veljavnosti. Izdajatelj mora v ta namen zagotoviti ustrezen arhiv in ga navesti v politiki. Izdajatelj mora v primeru prenehanja delovanja zagotoviti, da druga organizacija prevzame skrb za upravljanje arhiva njegovih politik. Avtentikacija politike e-podpisa Podpisnik, oziroma uporabnik Politike e-podpisa se mora prepričati, da uporablja pravo politiko. To se lahko zagotovi tako, da jo pridobi iz zaupanja vrednega vira, ali pa iz nezaupanja vrednega vira, če je politika podpisana. Ko se prepriča v avtentičnost vira lahko preveri zgoščeno vrednost (hash) politike in jo uporabi kot verodostojen dokument. Izdajatelj mora zagotoviti dostopnost Politike e-podpisa v skladu z opisom v točki Objava politike e- podpisa. 4. TERMINOLOŠKI SLOVAR digitalno potrdilo - potrdilo v elektronski obliki, ki povezuje podatke za preverjanje elektronskega podpisa z določeno osebo (imetnikom potrdila) ter potrjuje njeno identiteto kvalificirano digitalno potrdilo potrdilo v elektronski obliki, ki izpolnjuje zahteve iz 28. člena ZEPEP. Izda ga overitelj, ki deluje v skladu z zahtevami iz 29. do 36. člena ZEPEP podatki za elektronsko podpisovanje podatki za elektronsko podpisovanje so edinstveni podatki, kot so šifre ali zasebni šifrirni ključi, ki jih podpisnik uporablja za oblikovanje elektronskega podpisa (ZEPEP, 2.člen) podatki za preverjanje elektronskega podpisa - edinstveni podatki, kot so šifre ali javni šifrirni ključi, ki se uporabljajo za preverjanje elektronskega podpisa (ZEPEP, 2.člen) overitelj - fizična ali pravna oseba, ki izdaja potrdila ali opravlja druge storitve v zvezi z overjanjem ali elektronskimi podpisi (ZEPEP, 2. člen) podpisnik - oseba, ki ustvari ali je v njenem imenu in v skladu z njeno voljo ustvarjen elektronski podpis elektronski podpis - niz podatkov v elektronski obliki, ki je vsebovan v, dodan k ali logično povezan z drugimi podatki, in je namenjen preverjanju pristnosti teh podatkov in identifikaciji podpisnika varen elektronski podpis - elektronski podpis, ki izpolnjuje naslednje zahteve: povezan je izključno s podpisnikom; iz njega je mogoče zanesljivo ugotoviti podpisnika; ustvarjen je s sredstvi za varno elektronsko podpisovanje, ki so izključno pod podpisnikovim nadzorom; povezan je s podatki, na katere se nanaša, tako da je opazna vsaka kasnejša sprememba teh podatkov ali povezave z njimi sredstvo za preverjanje elektronskega podpisa - nastavljena programska ali strojna oprema, ki se uporablja za preverjanje elektronskega podpisa (ZEPEP, 2. člen) Stran 8

sredstvo za varno elektronsko podpisovanje - nastavljena programska ali strojna oprema, ki jo podpisnik uporablja za oblikovanje varnega elektronskega podpisa (ZEPEP, 2. člen) politika e-podpisa zbirka pravil za ustvarjanje in preverjanje elektronskega podpisa. Določa tudi pogoje, pod katerimi je elektronski podpis veljaven. izdajatelj politike e-podpisa subjekt, ki določi tehnične in proceduralne zahteve za ustvajanje in preverjanje e-podpisa za določene poslovne potrebe politika preverjanja e-podpisa del politike e-podpisa, ki določa tehnične zahteve za ustvarjanje in preverjanje e- podpisa časovni žig - podatkovni objekt, ki povezuje podatek, ki je bil preoblikovan s kriptografskimi algoritmi, s točnim časom, s čimer je vzpostavljen dokaz, da je podatek obstajal pred tem časom 5. PRILOGE Dokument ne vsebuje prilog. 6. IZJAVA O SKLADNOSTI S TEMI PRIPOROČILI Pričujoči dokument podaja priporočilo vsebine Politke e-podpisa v berljivi obliki. Dokument ne podaja strogo formalizirane oblike in strogih tehničnih zahtev, ki bi lahko bili podlaga za formalno presojo. Zaradi kompleksnosti e-poslovanja, raznolikosti okolij v katerih se uporablja in posledično širokega nabora možnosti, je najbolj smiselno, da za skladnost jamči izdajatelj Politike e-podpisa. Skladnost s temi priporočili lahko izdajatelj Politike e-podpisa ugotovi na podlagi presoje, ki jo izvede sam, ali pa se za presojo obrne na tretjo stranko, ki je specializirana za takšne presoje. Ne glede na to, na kakšen način je proizvajalec ugotavljal skladnost, pa lahko le on poda izjavo o skladnosti s temi priporočili in s tem prevzame tudi morebitne obveznosti. Podoben način zagotavljanja skladnosti je uveljavljen tudi v EU (CWA 14172-4). 7. DODATNI VIRI [RFC3125]: [ETSI] RFC 3125 Electronic Signature Policies, http://www.ietf.org/rfc/rfc3125.txt ETSI - Electronic Signatures and Infrastructures http://portal.etsi.org/esi/el-sign.asp ETSI TR 102 041 V1.1.1 (2002-02) Signature Policy Report [ZEPEP] Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) http://objave.uradnilist.si/bazeul/ured/2000/057/b/522615430.htm [Uredba] Uredba o pogojih za elektronsko poslovanje in elektronsko podpisovanje http://www.gov.si/cvi/slo/ep/uredba.htm Stran 9

2024 © DocPlayer.si Pravilnik o zasebnosti | Pravila uporabe | Povratne informacije