Certifikační autorita I.CA

Tato politika je vhodná pro práci s obchodními dokumenty a obchodní komunikaci s použitím bezpečného E-mailu a bezpečného www systému. Tato politika může být použita společnostmi a organizacemi pro distribuci jejich citlivých obchodních dokumentů, buď E-mailem, nebo www systémem nebo jiným systémem pro práci s dokumenty.

1. Přidělení relativního nezaměnitelného jména: Relativní nezaměnitelné jméno vzniká vyplněním žádosti o certifikát s pevně definovanými položkami, kterou klient přinese na disketě na Registrační autoritu I.CA. Povinnými položkami jsou : název, e-mailová adresa a země ve standardu PKCS#10.

2. Pravidla pro nezaměnitelná jména žadatelů o certifikát: I.CA ověří, zda jméno není duplicitní, tj. zda už nebyl vydán certifikát pod stejným nezaměnitelným jménem. Je-li jméno unikátní, je přijato tak, jak je uvedeno v žádosti. Je-li zjištěna duplicita, I.CA po dohodě s klientem jméno na certifikátu změní (např. přidáním položky). Pro tuto činnost využívá I.CA svých Registračních autorit.

3. Ověření platnosti žádosti o certifikát: Po přijetí žádosti I.CA ověřuje totožnost žadatele. Toto ověření je definováno vnitřní procedurou organizace I.CA a musí být založeno na oficiálním dokumentu (občanský průkaz, pas, oficiální, registrační dokument společnosti, výpis z obchodního rejstříku atd.).Budou přijímány žádosti podle standardu SPKAC a PKCS#10 v datovém formátu PEM a DER. Certifikát bude vydán až po úspěšném ověření a to jak formální tak obsahové stránky žádosti.Vydávané certifikáty odpovídají standardu PKCS#7 a X509 verze 3. Tyto certifikáty jsou kompatibilní s S/MIME.

4. Procedura certifikování a ochrana privátních komponent: Podepsání certifikátu se provádí programem pomocí metod asymetrické kryptografie: kontrolní součet je vypočten podle algoritmu MD5 a zašifrován algoritmem RSA s pevnou délkou klíče 1024 bitů. Privátní komponenty (jedná se v podstatě o privátní klíč z dvojice klíčů asymetrické šifry) budou u zákazníka uloženy na pevném disku a chráněny bezpečnostním heslem. I.CA má privátní data (celý podpisový algoritmus včetně klíče) uloženy na čipové kartě a chráněny PINem. Tato karta má charakter bezpečného hardware.

5. CRL-seznam zneplatněných certifikátů: Seznam CRL bude vydáván při každé nové žádosti o certifikát, nejméně však jednou za 24 hodin. Podat žádost o zneplatnění cerifikátu může vlastník certifikátu pomocí bezpečného mailu podepsaného certifikátem, který se má zneplatnit, nebo vlastník hesla žádosti (challenge password), který musí prokázat znalost tohoto hesla, jinak ke zneplatnění nedojde. Pokud majitel certifikátu nebo hesla žádosti zneplatní certifikát, bude mu pro kontrolu a upřesnění času zneplatnění zasláno nejbližší vydané CRL.

6. Ochrana báze dat a software CA: Tato data jsou chráněna administrátorským heslem. Počítač, kde je nainstalována I.CA je fyzicky oddělen od registračního místa. Přístup k systému je zaznamenán v logovém souboru. Tuto činnost zajišťují funkce operačního systému. Administrátor provádí pravidelné zálohy. Integrita software a ochrana lokální báze dat bude prováděna a ověřována periodicky. Kontrolní hodnoty a parametry pro ochranu a integritu budou uloženy na čipové kartě. V případě problému bude vydáno varování pro systémového administrátora.

7. Kontrola CA: Pro účely kontroly je v I.CA logový soubor, kam jsou přehledně zaznamenány prováděné akce. Tento soubor je přístupný systémovému administrátorovi k pravidelné kontrole, nebo při zjišťování příčin problémů. Tuto činnost zajišťují funkce operačního systému. Pro externí sledování bude pro autorizované auditory přístupná dokumentace užitá během registrační procedury I.CA.

8. Směrnice pro systémové programátory a uživatele: Směrnice pro systémové programátory a uživatele jsou ve formě psaných pravidel a postupů. Do software I.CA jsou zabudovány některé ověřovací testy pro akce bezpečnostního administrátora.

9. Notářské funkce CA: Jediným notářským úkonem bude digitální podpis dokumentů prováděný I.CA.

10. Přístupnost služeb: Příjem a zpracování žádostí o certifikát a o zneplatnění certifikátu je prováděn v úředních hodinách. Ostatní informativní služby I.CA jsou k dispozici nepřetržitě, mimo havarijní stavy a tvorbu záloh na URL: http://www.ica.cz. Přístupnost těchto služeb bude garantována do 2 hodin ve 24 hodinovém cyklu, tj. v případě problémů může být I.CA mimo provoz max. 2 hodiny v jednom dni. V této době I.CA nepřebírá žádnou zodpovědnost za následné ztráty zákazníka způsobené nedostupností jeho certifikačního systému.

11. Archivace dokumentů: Papírové a elektronické dokumenty týkající se služeb certifikační autority I.CA jsou archivovány po dobu nejméně 10 let.