Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

Átírás

1 NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT) Verziószám 1.2 OID szám Hatósági azonosító jel NI HR Hatályba lépés dátuma Hatósági nyilvántartásba vétel száma EF/ /2013 Dokumentum besorolása Publikus Copyright NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Minden jog fenntartva

2 Változáskövetés Verzió Dátum A változás leírása Készítette Ellenőrizte Jóváhagyta Első változat Audit észrevételei alapján módosított változat Hatóság észrevételei alapján módosított változat Pándi Boglárka Kővári Ferenc Kővári Ferenc Ferencz Attila Kővári Ferenc Bódi Antal Ferencz Attila Kővári Ferenc dr. Sandl Judit Ferencz Attila 2/40

3 TARTALOMJEGYZÉK 1. Bevezetés Szolgáltató adatai Áttekintés A hitelesítési rend célja Jogszabályok, szabványok Hitelesítési rend azonosítása Felhasználói közösség, alkalmazhatóság A Szolgáltató regisztrációs szervezete A Szolgáltató hitelesítő szervezete Hitelesítési Rend és Szabályozási Csoport Előfizetők és Aláírók (Felhasználók) Érintett felek Alkalmazhatóság Tanúsítvány típusok és tanúsítvány fajták Minősített tanúsítványok általános jellemzői Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását nem megkövetelő minősített tanúsítvány (MTT) Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítvány (MTT+BALE) Tanúsítványok fajták és használati jellemzői Általános rendelkezések Feladatok és hatáskörök A Szolgáltató feladatai és hatásköre Az Előfizető és az Aláíró feladata és jogköre Érintett félre vonatkozó ajánlások Felelősségek A Szolgáltató felelőssége Az Előfizető és az Aláíró felelőssége Érintett fél felelőssége Az anyagi felelősség mértéke Értelmezés és alkalmazás Irányadó jog Hatályosság, megszűnés, értesítések Vitás kérdések kezelése Díjak Közzététel Szolgáltatói információk közzététele A közzététel gyakorisága Elérési szabályok Tanúsítványtár és tanúsítvány visszavonási lista A megfelelőség vizsgálata Vizsgálatok gyakorisága 19 3/40

4 Az átvizsgáló szervezet jellemzői Hiányosságok kezelése Eredmény kommunikációja Bizalmasság Adatkezelési elvek Bizalmas információk Nem bizalmas információk Tanúsítvány visszavonási és felfüggesztési okok felfedése Feltárás törvényi meghatalmazással rendelkezők részére Információszolgáltatás polgári eljárás keretében Feltárás tulajdonos kérésére Feltárás más esetekben Szellemi tulajdonhoz fűződő jogok Azonosítás és hitelesítés Regisztráció Nevek típusa. Álnevek használata Nevek szemantikája Nevek egyedisége Név igénylési viták feloldása Védjegyek elismerésének és hitelesítésének módszere Az aláírás-létrehozó adat birtoklás ellenőrzésének módszere Személyazonosság megállapítása Szervezeti azonosság és hovatartozás megállapítása Eszköz azonosság megállapítása A tanúsítvány-életciklusra vonatkozó követelmények Tanúsítványigénylés A tanúsítvány kérelem feldolgozása Azonosítási funkciók megvalósítása A tanúsítványigénylés jóváhagyása vagy visszautasítása A tanúsítványigénylések feldolgozásának időtartama Tanúsítvány kibocsátás Tanúsítvány elfogadás Tanúsítvány közzététele a hitelesítés-szolgáltató által A további szereplők értesítése a tanúsítvány kibocsátásáról Kulcspár és tanúsítvány használat Az alany magánkulcs- és tanúsítvány használata Az Érintett felek nyilvános kulcs- és tanúsítvány használata Tanúsítványok érvényessége, megújítása A tanúsítványok érvényessége A tanúsítványok megújítása Érvénytelen tanúsítványok megőrzése Kulcscsere Tanúsítvány-módosítás Tanúsítvány visszavonás és felfüggesztés 26 4/40

5 Visszavonáshoz/felfüggesztéshez vezető körülmények Visszavonás kérelmezése Visszavonási kérelemre vonatkozó eljárás A felfüggesztési kérelemre vonatkozó eljárás Kivárási idő visszavonási/felfüggesztési kérelem esetén A Szolgáltatót és az Előfizetőt érintő felelősségi szabályok Felfüggesztett állapotra vonatkozó korlátozások, újraérvényesítés A visszavonási információ ellenőrzése az érintett felek részéről Visszavonási lista (CRL) és kibocsátásának gyakorisága A visszavonási lista előállítása és közzététele közötti leghosszabb idő A visszavonási listák ellenőrzése Visszavonási állapot közlés más formái Intézkedések magánkulcs kompromittálódás esetén Kulcsletét OCSP szolgáltatás Fizikai, eljárásrendi, és személyi biztonsági szabályozások Fizikai biztonsági szabályozások Hitelesítő Központok Regisztrációs Iroda Eljárásrendi szabályozások Humán szabályozások Bizalmi munkakörök Az egyes feladatokhoz szükséges személyzeti létszámok A bizalmi munkakörökben elvárt azonosítás és hitelesítés Egymást kizáró munkakörök Személyzetre vonatkozó előírások Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények Biztonsági háttér ellenőrzésekre vonatkozó eljárások Képzési követelmények Továbbképzési gyakoriságok és követelmények A felhatalmazás nélküli tevékenységek büntető következményei A szerződéses alkalmazottakra vonatkozó követelmények Műszaki biztonsági óvintézkedések Kriptográfiai kulcspár előállítás és aláírás-létrehozó eszköz megszemélyesítés Kulcspár előállítás Az aláírás-létrehozó eszköz megszemélyesítése Az aláírás-létrehozó adat eljuttatása az Aláíróhoz (Előfizetőhöz) Az Aláírók aláírás-ellenőrző adatának eljuttatása az érintett felekhez A Szolgáltató aláírás-ellenőrző adatainak eljuttatása a felhasználói közösséghez Kulcs méretek, algoritmusok, paraméterek Szolgáltatói kulcsgenerálás Kulcs felhasználási célok Aláírás-létrehozó adat védelme 34 5/40

6 A HSM-re vonatkozó szabványok A több-szereplős ( n-ből m ) magánkulcs visszaállítás ellenőrzése Aláírás-létrehozó adat letét Aláírás-létrehozó adat mentése, duplikálása Aláírás-létrehozó adat BALE eszközön, kriptográfiai modulban Aláírás-létrehozó adat aktiválása Aláírás-létrehozó adat deaktiválása Aláírás-létrehozó adat megsemmisítése Kulcspár kezelés egyéb aspektusai Aláírás-ellenőrző adat archiválása Aláírás-létrehozó és aláírás-ellenőrző adatok felhasználási ideje Aktiválási adatok Aktiválási adatok generálása és installációja Aktiválási adatok védelme Aktiválási adatok egyéb aspektusai Számítógép biztonsági szabályok Számítógép biztonság technikai követelményei Számítógép biztonsági ellenőrzések Életciklus technikai szabályok Rendszerfejlesztési szabályok Biztonságkezelési szabályok Életciklus biztonsági értékelések Minimális szolgáltatás rendkívüli üzemeltetési helyzetben A rendkívüli üzemeltetési helyzet jelzése Hálózati biztonsági szabályok Kriptográfiai (HSM) modul ellenőrzése Tanúsítvány, CRL és OCSP profil Tanúsítvány profil Alap mezők Tanúsítvány kiterjesztések Tanúsítvány-visszavonási profil OCSP profil Hitelesítési Rend adminisztráció Változatkezelési eljárások Változtatási eljárások Közzétételi és tájékoztatási elvek HR-MTT elfogadási eljárások Hivatkozások 40 6/40

7 1. Bevezetés Jelen dokumentum a NISZ Zrt. (továbbiakban Szolgáltató) hitelesítés-szolgáltatása keretében kibocsátott minősített tanúsítványokra vonatkozó Hitelesítési Rend (továbbiakban HR-MTT). A NISZ Zrt. a minősített tanúsítványokkal kapcsolatosan a évi XXXV. számú, elektronikus aláírásról szóló törvényben meghatározott szolgáltatások közül a következőket nyújtja: a. elektronikus aláírás hitelesítés-szolgáltatás (a továbbiakban: hitelesítés-szolgáltatás) b. aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése Jelen Hitelesítési Rend a fenti szolgáltatások (a továbbiakban Szolgáltatások) keretében kibocsátott és az pontban jelzett minősített tanúsítványok kezelésére (előállítás, kibocsátás, közzététel, megújítás, felfüggesztés, újraérvényesítés, visszavonás) vonatkozó követelményeket, a tanúsítványok tartalmának és érvényességének ellenőrzési eljárásait és a Szolgáltatások működtetésének követelményeit tartalmazza A Szolgáltató a Szolgáltatásait a vele szerződéses viszonyban álló Előfizetők valamint a velük kapcsolatban álló Aláírók részére nyújtja. A Szolgáltató az elektronikus aláírások hitelességét ellenőrző Érintett felek részére bizonyos szolgáltatási elemeket hozzáférhetővé tesz Szolgáltató adatai Jelen Hitelesítési Rend szerint kibocsátott minősített tanúsítványokkal kapcsolatos Szolgáltatásokat a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (Szolgáltató) nyújtja. A Szolgáltató általános adatait, valamint a Szolgáltatásokért illetékes szervezetének (Ügyfélkapcsolati Irodának) az elérhetőségét, nyitva tartását, a Szolgáltatóval való kapcsolattartás módját és az illetékes fogyasztóvédelmi szerv elérhetőségét a NISZ Zrt. Szolgáltatási Szabályzat a minősített elektronikus aláírással kapcsolatos szolgáltatásokhoz c. szabályzata (továbbiakban HSZSZ-M) tartalmazza Áttekintés A hitelesítési rend célja A hitelesítési rend egy olyan szabálygyűjtemény, mely egy tanúsítványtípus felhasználhatóságát határozza meg egy közös biztonsági követelményekkel rendelkező közösség és/vagy alkalmazás számára, valamint rögzíti azokat a követelményeket, amelyeket a Szolgáltatónak a tanúsítvány kezelés folyamatában teljesítenie kell. Jelen Hitelesítési Rendben (HR-MTT) a követelmények az alábbiakban felsorolt tanúsítványtípusokra vonatkoznak: [MTT] [MTT+BALE] [NKET] [KET] Nyilvános körben kibocsátott, aláírás létrehozó eszköz használatát nem megkövetelő minősített tanúsítványok Nyilvános körben kibocsátott, biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítványok Nyilvános körben kibocsátott minősített tanúsítványok, melyek a évi CXL. törvény (KET) és a vonatkozó rendeletei alapján a közigazgatásban nem alkalmazhatók Nyilvános körben kibocsátott minősített tanúsítványok, melyek a évi CXL. törvény (KET) és a vonatkozó rendeletei a közigazgatásban alkalmazhatóak Jelen Hitelesítési Rendben (HR-MTT) a különböző tanúsítványtípusokra vonatkozó követelményeket a fent alkalmazott jelölések mutatják. Amennyiben az alkalmazott jelölések nem kerülnek külön feltüntetésre, akkor a követelmények általános szabályként értendők. Ezen tanúsítványtípusok kibocsátására és felhasználására vonatkozó részletes szabályokat a Szolgáltató HSZSZ-M dokumentuma tartalmazza Jogszabályok, szabványok A jelen hitelesítési rend a következő jogszabályokat, szabványokat és ajánlásokat veszi figyelembe: évi XXXV. törvény az elektronikus aláírásról (a továbbiakban: Eat.), 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről 7/40

8 4/2006. (IV. 19.) IHM rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással összefüggő nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról 9/2005. (VII. 21.) IHM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról, 45/2005. (III. 11.) Korm. rendelet a Nemzeti Média- és Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 7/2002 (IV. 26) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatási szakértő nyilvántartásba vételéről évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 78/2010. (III.25). Korm. rendelet az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól A hitelesítési rend szerkezetére és tartalmára vonatkozóan: RFC 2527 illetve 3647 (Internet X.509 Nyilvános kulcsú infrastruktúra tanúsítvány és szolgáltatási szabályzat keretrendszer) A minősített tanúsítványok és visszavonási listák szerkezetére, tartalmára vonatkozóan: International Telecommunication Union X.509 Információ technológia Nyílt rendszerek kapcsolódása - Könyvtár: Nyilvános kulcs és attribútum tanúsítvány keretrendszer ajánlás 3-as verziója ETSI TS Minősített tanúsítvány profil RFC 2459 illetve RFC 3280 (Internet X.509 Nyilvános kulcsú infrastruktúra Tanúsítvány és Tanúsítvány visszavonási lista profil) RFC 3739 (Internet X.509 Nyilvános kulcsú infrastruktúra Minősített tanúsítvány profil) A minősített hitelesítés-szolgáltatókra vonatkozóan: 2/2002. (IV. 26) MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről 1, ETSI TS (Minősített tanúsítványokat kibocsátó hitelesítés-szolgáltatókra vonatkozó szabályozási követelmények). Az OCSP szolgáltatásra vonatkozóan: IETF RFC 2560 szabvány Az informatikai biztonsági követelményekre vonatkozóan: ITSEC 2, CC 3, MeHITB 12. ajánlás A kriptográfiai modulra, az aláírás-létrehozó eszközre vonatkozóan: NIST FIPS PUB (1994. január 11.) (Kriptográfiai modulok biztonsági követelményei), ITSEC, CC, CEN munkacsoport egyezmény: Védelmi profil hitelesítés-szolgáltató aláíró műveleteit megvalósító kriptográfiai modulra (MCSO-PP, HSM-PP), CEN munkacsoport egyezmény: Védelmi profil hitelesítés-szolgáltató kulcs előállítási szolgáltatásait megvalósító kriptográfiai modulra (CMCKG-PP, HSM-PP) 1.3. Hitelesítési rend azonosítása Jelen dokumentum teles neve: NISZ Zrt. Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra A dokumentum rövid neve: HR-MTT. A dokumentum objektum azonosítója és verziószáma a címlapon található. A dokumentum hatósági nyilvántartásba vételi száma valamint hatósági azonosító jele szintén a címlapon található Jelen HR-MTT-nek csak a Szolgáltató aláírásával ellátott változata tekinthető hitelesnek. 1 A 2/2002 MeHVM irányelv nem hatályos, de aktuális részeit Szolgáltató ajánlásként figyelembe veszi 2 ITSEC = Information Technology Security Evaluation Criteria (Információtechnológia Biztonsági Értékelési Kritériumok) az Európai Közösség ajánlása az IT termékek és rendszerek biztonságának funkcionális és minősítési követelményeire. 3 CC = Common Criteria (Közös /Informatikai Biztonsági/ Követelmények) az Európai Közösség, az Egyesült Államok és Kanada közös ajánlása az IT termékek biztonsági minősítésének követelményeire. 8/40

9 1.4. Felhasználói közösség, alkalmazhatóság A Szolgáltató regisztrációs szervezete A Szolgáltató saját szervezetén belül ügyfélkapcsolati irodát és regisztrációs irodát kell működtessen. Az Ügyfélkapcsolati Iroda elvégzi az igénylők illetve Előfizetők adatainak felvételét, az igénylők személyazonosságának megállapítását, a tanúsítvány kérelmek összeállítását és gondoskodik az előfizetői szerződésben foglaltak teljesítéséről. A Regisztrációs Iroda biztosítja az igénylők illetve Előfizetők technikai regisztrációját, a tanúsítványok előállításának, felfüggesztésének és visszavonásának jóváhagyását illetve kezelését. A Regisztrációs Iroda biztosítja az aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezését [MTT+BALE] tanúsítvány esetén. A Szolgáltató saját szervezetén kívüli regisztrációs szervezeteket is működtethet, a vele szerződéses alapon együttműködő Társaságokkal (mint szerződött közreműködők) együtt. Ezen regisztrációs szervezetek elvégzik a saját igénylőik és előfizetőik adatainak rögzítését, ellenőrzését, az igénylők személyazonosságának megállapítását, a tanúsítvány kérelmek összeállítását és Szolgáltatóhoz történő továbbítását. Biztosítják a tanúsítványok és az aláírás létrehozó eszközök szétosztását, a tanúsítvány kibocsátását és visszavonását, és egyéb azonosítási, tanúsítványmenedzsment és adminisztrációs feladatokat látnak el A Szolgáltató hitelesítő szervezete A hitelesítő szervezet a Szolgáltató központi szervezete, amely a hitelesítő központokból, a szolgáltatás-támogató informatikai rendszer központi erőforrásaiból, azt ezt körül vevő biztonságos fizikai környezetből, valamint az üzemeltető és szolgáltatást ellátó személyzetből áll. Feladata a különböző osztályú és típusú tanúsítványok előállítása, ezek publikálása, a regisztrációs szervezettől érkező kiadási, megújítási, felfüggesztési, újraérvényesítési és visszavonási igényeknek a végrehajtása, a tanúsítványok állapotára vonatkozó információk előállítása és közzététele a szolgáltatási szabályzatnak (HSZSZ-M) megfelelően, valamint a szolgáltatást támogató informatikai rendszer üzemeltetése Hitelesítési Rend és Szabályozási Csoport A Hitelesítési Rend és Szabályozási Csoport a Szolgáltató által létrehozott szervezeti egység, amely a hitelesítés szolgáltatással kapcsolatos hitelesítési rendek, szolgáltatási szabályzatok és egyéb szabályzatok elkészítéséért, elfogadásáért, karbantartásáért és adminisztrációjáért felelős Előfizetők és Aláírók (Felhasználók) Előfizető a Szolgáltatóval szerződéses viszonyban álló szervezet, amely megrendeli a Szolgáltatótól a tanúsítványokat illetve a Szolgáltatásokat, a vele kapcsolatban álló illetve a képviseletében eljáró Aláírók számára. Aláíró: a) az a természetes személy, aki az aláírás-létrehozó eszközt birtokolja vagy aki a szolgáltató által üzemeltetett aláírás-létrehozó eszközön lévő aláírás-létrehozó adathoz kizárólagosan hozzáfér és a saját vagy más személy nevében aláírásra jogosult, b) a jogi személy vagy közhiteles nyilvántartásban szereplő jogi személyiség nélküli szervezet, amely az aláíráslétrehozó eszközt birtokolja, és akinek a nevében az őt képviselő természetes személy az elektronikus aláírást az elektronikus dokumentumon elhelyezi, valamint c) aki meghatározza, hogy a nevében jogszabályban meghatározott feltételeknek megfelelő informatikai eszköz elektronikus aláírást elektronikus dokumentumon elhelyezzen Érintett felek Az Érintett fél (aláírás ellenőrző) olyan természetes vagy jogi személy, aki vagy amely, az aláírt elektronikus dokumentum fogadója, és egy adott tanúsítványon alapuló elektronikus aláírásra hagyatkozva jár el az aláírás hitelességének ellenőrzésekor. 9/40

10 Alkalmazhatóság A hitelesítési rend hatálya A hitelesítési rend személyi hatálya a Szolgáltatóra, annak a szolgáltatásban közreműködő munkatársaira és a felhasználói közösségre (Előfizetők, Aláírók, Érintett felek) terjed ki. A hitelesítési rend tárgyi hatálya kiterjed az 1. pontban meghatározott szolgáltatásokra, az pontban meghatározott tanúsítványokra, valamint a Szolgáltatónak a Szolgáltatásokkal kapcsolatban álló összes objektumára és tárgyi eszközére: Tanúsítványok alkalmazhatósága Engedélyezett alkalmazási lehetőségek A kibocsátott előfizetői tanúsítványokhoz kapcsolódó magánkulcsok (aláírás-létrehozó adatok) kizárólag elektronikus aláírások megtételére használhatók. A magánkulcsokhoz tartozó nyilvános kulcsok (aláírás-ellenőrző adatok) és tanúsítványok az elektronikus aláírások ellenőrzésére használhatók fel. Korlátozott alkalmazási lehetőségek Szolgáltató területi, pénzügyi, stb. korlátozásokat szabhat az előfizetői szerződésben, amelyeket a kibocsátott előfizetői tanúsítványban fel kell tüntetni. Egyébként a Szolgáltató nem korlátozza a kibocsátott tanúsítványok felhasználhatóságát. Az Előfizető szervezet élhet korlátozásokkal Aláíró és érintett felek tanúsítvány felhasználási tevékenységével kapcsolatosan. Tiltott alkalmazási lehetőségek Az előfizetői tanúsítványokat tilos felhasználni titkosításra, azonosításra, más nyilvános kulcsú tanúsítványok aláírására, vagy bármilyen hitelesítés szolgáltatás nyújtásához Tanúsítvány típusok és tanúsítvány fajták A jelen hitelesítési rend - az pontnak megfelelően - alapvetően két minősített tanúsítvány típusra vonatkozik: [MTT] [MTT+BALE] Nyilvános körben kibocsátott, aláírás létrehozó eszköz használatát nem megkövetelő minősített tanúsítványok Nyilvános körben kibocsátott, biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítványok Fenti két típuson belül jelen hitelesítési rend leírja azon követelményeket is, amely az alábbi tanúsítványokra vonatkozik: [NKET] [KET] Nyilvános körben kibocsátott minősített tanúsítványok, melyek a évi CXL. törvény (KET) és a vonatkozó rendeletei alapján a közigazgatásban nem alkalmazhatók Nyilvános körben kibocsátott minősített tanúsítványok, melyek a évi CXL. törvény (KET) és a vonatkozó rendeletei alapján a közigazgatásban alkalmazhatóak Minősített tanúsítványok általános jellemzői Minősített tanúsítvány az Eat. 2. számú mellékletében foglalt követelményeknek megfelelő olyan tanúsítvány, amelyet minősített szolgáltató bocsátott ki. A minősített tanúsítványoknak tartalmazniuk kell az alábbiakat: a. annak megjelölését, hogy a tanúsítvány minősített tanúsítvány b. a Szolgáltató és székhelyének (ország-) azonosítóját c. az Aláíró nevét vagy egy álnevét, ennek jelzésével d. a tanúsítvány szándékolt felhasználásától függően az Aláíró külön jogszabályban, a Szolgáltatási Szabályzatban és az Általános Szerződési Feltételekben (továbbiakban: ÁSZF-PKI) meghatározott speciális jellemzőit e. az Aláíró által birtokolt aláírás-létrehozó adatnak megfelelő aláírás-ellenőrző adatot f. a tanúsítvány érvényességi idejének kezdetét és végét, valamint azt az időtartamot, ameddig a Szolgáltató az Eat. 9. (7) bekezdés szerinti feladatokat ellátja g. a tanúsítvány azonosító kódját h. a tanúsítványt kibocsátó Szolgáltató fokozott biztonságú elektronikus aláírását i. a tanúsítvány használhatósági körére vonatkozó esetleges korlátozásokat j. a tanúsítvány felhasználásának korlátjait, (beleértve a kötelezettségvállalás korlátait is) 10/40

11 k. szervezet képviseletére jogosító elektronikus aláírás tanúsítványa esetén a tanúsítvány ezen minőségét és a képviselt szervezet azonosító adatait Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását nem megkövetelő minősített tanúsítvány (MTT) Az [MTT] olyan minősített tanúsítvány, amely: a. megfelel az Eat. 2. számú mellékletében meghatározott követelményeknek b. olyan Szolgáltató adta ki, amely teljesíti az Eat. 3. számú mellékletében meghatározott követelményeket c. a tanúsítvány használatához illetve a kulcspár előállításához nem kapcsolódik biztonságos aláírás létrehozó eszköz d. nyilvános körben került kibocsátásra Az [MTT] tanúsítványtípussal illetve a kapcsolódó magánkulccsal készített elektronikus aláírást fokozott biztonságú elektronikus aláírásnak kell tekinteni Nyilvános körben kibocsátott és biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítvány (MTT+BALE) Az MTT+BALE olyan minősített tanúsítvány, amely: a. megfelel az Eat. 2. számú mellékletében meghatározott követelményeknek b. olyan Szolgáltató adta ki, amely teljesíti az Eat. 3. számú mellékletében meghatározott követelményeket c. a kulcspár előállításához olyan biztonságos aláírás-létrehozó eszköz került felhasználásra, amely eleget tesz az Eat. 1. számú mellékletében meghatározott követelményeknek d. nyilvános körben került kibocsátásra. Az [MTT+BALE] tanúsítványtípussal illetve a kapcsolódó magánkulccsal készített elektronikus aláírást minősített elektronikus aláírásnak kell tekinteni Tanúsítványok fajták és használati jellemzői A fentiekben körülírt tanúsítványok felhasználási területe és célja szerint Szolgáltató megkülönböztet: előfizetői, szolgáltatói, és teszt tanúsítványokat. Előfizetői tanúsítvány a Szolgáltatóval szerződéses viszonyban álló Előfizető (illetve a vele kapcsolatban álló Aláírók) számára kibocsátott tanúsítvány (végfelhasználói tanúsítvány). Szolgáltatói tanúsítvány a Szolgáltató által saját célra illetve a Szolgáltatások nyújtásához kapcsolódóan kibocsátott tanúsítvány; Előfizető ezeket nem igényelheti. Teszt tanúsítvány a Szolgáltató által kizárólag tesztelési célokból kiadott tanúsítvány. Jelen hitelesítési rendben foglaltak az előfizetői tanúsítványokra vonatkoznak, kivéve, ahol a szövegben a szolgáltatói, vagy a teszt tanúsítványokra való konkrét utalás található. A tanúsítványok tulajdonosa (alanya) alapján a Szolgáltató megkülönböztet: személyes tanúsítványokat munkatársi tanúsítványokat szervezeti vagy eszköz tanúsítványokat Személyes tanúsítvány esetén az Aláíró olyan természetes személy, aki magánszemélyként kerül regisztrálásra és ennek megfelelően kerül feltüntetésre a tanúsítványban, Magánszemély a Szolgáltatótól közvetlenül nem igényelhet tanúsítványt. Munkatársi tanúsítvány esetén az Aláíró olyan természetes személy, aki egy szervezethez tartozik, és azt képviseli valamilyen minőségben (jellemzően Előfizető munkavállalójaként), és ennek megfelelően kerül regisztrálásra illetve feltüntetésre a tanúsítványban. Szervezeti vagy eszköz tanúsítvány esetében az Aláíró nem természetes személy, hanem egy szervezet, amely ennek megfelelően kerül regisztrálásra illetve feltüntetésre a tanúsítványban. Az egyes tanúsítvány fajtákra vonatkozó további részleteket a Szolgáltató HSZSZ-M dokumentuma tartalmazza. 11/40

12 2. Általános rendelkezések 2.1. Feladatok és hatáskörök A Szolgáltató feladatai és hatásköre 1. Szolgáltatónak az 1. fejezetben meghatározott Szolgáltatások nyújtása során általánosságban az alábbi szolgáltatás elemeket kell biztosítania: regisztráció tanúsítvány előállítás tanúsítvány kiadás és szétosztás visszavonás kezelés (ebben felfüggesztés és újraérvényesítés biztosítása) visszavonási állapot közzététele aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése ([MTT+BALE] tanúsítvány esetén) 2. A Szolgáltatónak gondoskodnia kell a hitelesítés-szolgáltatásra vonatkozó valamennyi, a jelen hitelesítési rendben részletezett állítás teljesüléséről, amennyiben azok az adott tanúsítványokra alkalmazhatók. 3. A Szolgáltatónak szolgáltatásait nyilvánosan elérhetővé kell tenni. 4. A Szolgáltató jogi személy. 5. A Szolgáltató köteles rendszeresen felülvizsgálni és újra kiadni a jelen hitelesítési rendet és szolgáltatási szabályzatát (HSZSZ-M). 6. Tanúsítvány előállítás és kiadás az igénylők illetve Előfizetők által szolgáltatott és a Regisztrációs Szervezet által ellenőrzött adatok alapján történhet. A Szolgáltató a tanúsítvány kibocsátását követően a tanúsítvány adataiban nem változtathat. 7. A Szolgáltató köteles közzétenni Tanúsítványtárában az általa kibocsátott előfizetői tanúsítványokat, a Tanúsítványok Visszavonási Listájában pedig a felfüggesztett és visszavont előfizetői tanúsítványokat. A Tanúsítványtár, a Tanúsítványok Visszavonási Listája (CRL 4 ) elérhetőségét a Szolgáltatónak 99,9%-os rendelkezésre állással kell biztosítania úgy, hogy az elérhetőség kiesése esetenként nem lépheti túl a 3 órás időtartamot. 8. A Szolgáltató kötelezettséget vállal arra, hogy hiánytalan igénybejelentés és megrendelés esetén a regisztrációt követő napokban, de legkésőbb 30 munkanapon belül a tanúsítvány kiadására intézkedik és erről az Előfizetőt vagy az Aláírót értesíti. 9. A Szolgáltatónak a szolgáltatások működtetése és menedzselése során ügyfélkapcsolati tevékenységet kell biztosítania. 10. A Szolgáltatónak rendkívüli üzemeltetési helyzetben is biztosítania kell tanúsítványtára és visszavonási nyilvántartásai elérhetőségét, visszavonás kezelési illetve visszavonási állapot közzétételi szolgáltatásait minden érdekelt fél számára. Ügyfélszolgálata útján folyamatos elérhetőséget kell biztosítania a tanúsítvány visszavonási és felfüggesztési igények fogadására és kezelésére. 11. A Szolgáltatónak az Internetes honlapján keresztül bárki számára folyamatosan elérhetővé kell tenni a jogszabály szerinti nyilvántartásokat és a tanúsítvány kibocsátására vonatkozó szolgáltatási szabályzatát (HSZSZ-M) valamint általános szerződési feltételeit (ÁSZF-PKI). 12. A Szolgáltató a lejárat előtt értesítést küldhet a lejáró tanúsítványokról az Előfizető vagy az Aláíró részére. 13. Szolgáltató a tanúsítványban köteles feltünteti az Előfizetői Szerződésben rögzített, a tanúsítvány felhasználhatóságával kapcsolatos korlátozásokat. 14. A Szolgáltató felfüggesztheti vagy visszavonhatja a tanúsítványt, ha a fejezetben részletezett körülmények ezt indokolják 15. Szolgáltató köteles megőrizni a tanúsítványokkal kapcsolatos adatokat és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejáratától számított 10 évig, illetőleg amennyiben ezen időszakban az elektronikus aláírással vagy az azzal aláírt elektronikus dokumentummal kapcsolatosan jogvita merül fel és azt a Szolgáltatónak írásban bejelentették a jogvita jogerős lezárásáig. Ugyanezen határidőig olyan eszközt is köteles biztosítani, amellyel a kibocsátott tanúsítványok tartalma megállapítható. 16. Ha a Szolgáltató be kívánja fejezni tevékenységét, erről legalább hatvan nappal korábban köteles értesíteni az Előfizetőket és az illetékes hatóságot (Nemzeti Média- és Hírközlési Hatóság, a továbbiakban: NMHH). A bejelentés időpontjától kezdve a Szolgáltató nem bocsáthat ki új tanúsítványt. A Szolgáltató a tevékenység befejezése előtt köteles visszavonnni az általa kibocsátott és még érvényes tanúsítványokat. A Szolgáltató a tevékenysége befejezéséig köteles eleget tenni a nyilvánosságra hozatali kötelezettségének. 17. A Szolgáltató intézkedni köteles az iránt, hogy legkésőbb a tevékenysége befejezésekor más - vele legalább azonos besorolású - szolgáltató átvegye nyilvántartásait, így különösen a visszavont tanúsítványok nyilván- 4 CRL: Certifcate Revocations List 12/40

13 tartását, valamint ellássa a hatályos jogszabályokban foglalt feladatokat. A Szolgáltató a visszavont tanúsítványokkal kapcsolatos minden adatot - beleértve a személyes adatokat is köteles átadni ezen szolgáltatónak A Hitelesítő Szervezet feladatai és hatásköre A Szolgáltató hitelesítő szervezetének, illetve az általa működtetett hitelesítő központoknak (CA-knak) a feladata a általánosságban a tanúsítványok előállítása, valamint a visszavonási listák aláírásával közreműködés a visszavonási állapot közzétételében. A hitelesítő szervezet feladata az [MTT] tanúsítványok esetén a kapcsolódó kulcspár előállítása is, kivéve, ha Szolgáltató és Előfizető közös megegyezése alapján a kulcspárt Előfizető állítja elő. A tanúsítványok előállítása során a hitelesítő központok aláírják a tanúsítvány adatokat és kötelesek gondoskodni arról, hogy a kibocsátott tanúsítványokhoz tartozó kulcsok és a tanúsítványokba foglalt nevek egyediek legyenek a szolgáltatás körén belül. A visszavonási állapot közzétételében való közreműködés keretén belül a hitelesítő központok fogadják a visszavonási kérelmeket, új tanúsítvány visszavonási listát készítenek, és azt aláírásukkal hitelesítik. Az 1. szintű hitelesítő központ (Főtanúsítvány-kiadó, azaz Root CA ) alapvető feladata és hatásköre a 2. szintű hitelesítő központ ( Produktív CA ) hitelesítése, ezen belül feladatai tételesen a következők: 1. Saját (szolgáltatói) kulcspár generálása és tanúsítvány előállítása önhitelesítéssel, magánkulcsának fokozott biztonságú védelme 2. További szolgáltatói kulcspárok és tanúsítványok előállítása 3. A 2. szintű hitelesítő központok ("Produktív CA -k) hitelesítési kérelmeinek fogadása és ellenőrzése, részükre tanúsítványok előállítása, hitelesítése 4. A Produktív CA tanúsítvány visszavonási és tanúsítvány megújítási kérelmeinek feldolgozása. 5. A Produktív CA tanúsítványainak és visszavonási listáinak publikálása. A 2. szintű Produktív CA alapvető feladata és hatásköre a Regisztrációs Szervezet által regisztrált Előfizetők tanúsítványainak hitelesítése: 1. Saját szolgáltatói kulcspár generálása és magánkulcsának fokozott biztonságú védelme. 2. A Regisztrációs Szervezettől kapott hitelesítési kérelmek fogadása és ellenőrzése. 3. [MTT] tanúsítványok esetén Előfizetői kulcspár generálása (kivéve, ha Szolgáltató és Előfizető közös megegyezése alapján a kulcspárt Előfizető állítja elő). 4. Előfizetői tanúsítványok előállítás és publikálása a Tanúsítványtárban 5. Regisztrációs Irodától érkező tanúsítvány visszavonási, felfüggesztési, újraérvényesítési és tanúsítvány megújítási kérelmek feldolgozása,valamint a tanúsítvány visszavonási listák előállítása és publikálása. 6. online tanúsítvány-állapot szolgáltatás (OCSP Online Certificate Status Protocol) nyújtása, ennek keretében a szabványos kérések fogadása, ellenőrzése, és a szabványos OCSP válaszok elküldése A Regisztrációs Iroda (RA) feladatai és hatásköre A Regisztrációs Iroda feladata általánosságban az igénylők illetve Előfizetők technikai regisztrációja, a tanúsítványok előállításának, felfüggesztésének és visszavonásának jóváhagyása, valamint az aláírás létrehozó adat és kapcsolódó aktivizáló ada(ok) kezelése és szétosztása. A Regisztrációs Iroda feladata [MTT+BALE] tanúsítványok esetén az előfizetői kulcspár generálása és aláíráslétrehozó eszközön az aláírás-létrehozó adat elhelyezése. Ezen belül a Regisztrációs Iroda feladatai tételesen a következők: 1. [MTT+BALE] tanúsítvány esetén előkészíti a biztonságos aláírás-létrehozó eszközt az aláírás-létrehozó eszközön történő Előfizetői kulcspár generáláshoz 2. elvégzi a tanúsítvány kibocsátásához szükséges ellenőrzéseket, elküldi a tanúsítvány előállítási kérelmet a hitelesítő központnak, (visszautasítja a tanúsítvány kiadását, amennyiben a tanúsítvány-igénylés nem felel meg az elvárt feltételeknek) 3. fogadja a hitelesítő központtól kapott előfizetői tanúsítványokat és ellenőrzi azok hitelességét és sértetlenségét, 4. kezdeményezi a tanúsítványok elküldését a Tanúsítványtárba 5. [MTT+BALE] tanúsítvány esetén megszemélyesíti a biztonságos aláírás-létrehozó eszközt és azt eljuttatja az Ügyfélkapcsolati Irodához, előállíttatja a kezdeti aktivizáló adatot (PIN kódot) a hitelesítő központtal, majd azt a biztonságos aláírás-létrehozó eszköztől elkülönítve eljuttatja az Ügyfélkapcsolati Irodához, 6. [MTT] tanúsítvány esetén előállíttatja az aktivizáló adatot (PIN kód) a hitelesítő központtal, majd azt az aláírás-létrehozó adattól elkülönítve eljuttatja az Ügyfélkapcsolati Irodához 7. formai szempontból ellenőrzi a tanúsítvány visszavonásra, felfüggesztésre, vagy újraérvényesítésére vonatkozó kérelmek hitelességét és érvényességét, a szabályos kérelmeket elküldi a hitelesítő központnak, 13/40

14 8. visszautasítja a szabálytalan tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, 9. fogadja és feldolgozza a tanúsítvány megújítási kérelmeket, ezeket elküldi a hitelesítő központnak Az Ügyfélkapcsolati Iroda feladatai és hatásköre Az Ügyfélkapcsolati Iroda szolgáltatás igénylés és teljesítés keretén belül: 1. gondoskodik az Igénylő megfelelő tájékoztatásáról és azonosításáról 2. ellenőrzi a 3.1 pontban és az ÁSZF-PKI-ben előírt adatszolgáltatási követelmények szerint megadott adatok alapján a szolgáltatást igénylő ügyfél személyazonosságát és az Aláíró adatait 3. meghatározza a Tanúsítványba kerülő adatokat, ellenőrzi az Igénylő által átadott dokumentumok valódiságát, érvényességét, sértetlenségét és hitelességét, 4. lehetőség szerint ellenőrzi a dokumentumok érvényességét, valódiságát valós idejű nyilvántartásokban is, 5. előkészíti az Előfizetői Szerződést 6. elszámolja és kiszámlázza a szolgáltatások ellenértékét, 7. nyilvántartásba veszi a regisztráció során felvett adatokat és megőrzi azokat. 8. bizalmas információként kezeli az Előfizető és az Aláíró minden adatát, kivéve azokat, amelyek a tanúsítványba kerülnek 9. gondoskodik az aláírás-létrehozó eszköz és a PIN boríték biztonságos kezeléséről és átadásáról, 10. tájékoztatja az Előfizetőt tanúsítványa lejáratát megelőzően 11. az Aláíró adatainak változása és tanúsítvány megújítási kérelem esetén ellenőrzi a már korábban nyilvántartásba vett adatokat és intézkedik a Regisztrációs Iroda felé a kérelem teljesítésére. 12. kezeli a szolgáltatással kapcsolatos bejelentéseket, kérdéseket, panaszokat. A visszavonás kezelés szolgáltatás keretén belül: 1. ellenőrzi a tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmek hitelességét, 2. visszautasítja (az ok megjelölésével) a nem hiteles vagy szabálytalan, tanúsítvány visszavonásra, felfüggesztésre, vagy felfüggesztés megszüntetésére vonatkozó kérelmeket, 3. a visszavonási kérelem elfogadása után intézkedik a tanúsítvány visszavonására, 4. tájékoztatja a visszavont, illetve felfüggesztett tanúsítvány tulajdonosát tanúsítványa állapotának változásáról A Hitelesítési Rend és Szabályozási Csoport feladatai és hatásköre A Hitelesítési Rend és Szabályozási Csoport fő feladata a szolgáltatásokkal kapcsolatos hitelesítési rendek, szolgáltatási szabályzatok és belső szabályzatok kezelése. Hatáskörébe tartozik a Szolgáltató és felhasználói közösség igényeinek felmérése és folyamatos követése, ezek alapján a közösség működésére vonatkozó alapelvek lefektetése, s ebből levezetve a Szolgáltató szabályzatainak, úgymint a hitelesítési rendek, szolgáltatási és biztonsági szabályzatok készítése és rendszeres karbantartása. A Hitelesítési Rend és Szabályozási Csoport feladatai tételesen a következők: 1. A hitelesítési rendek elkészítése és karbantartása. 2. A szolgáltatási szabályzatok elkészítése és karbantartása. 3. A hitelesítési rendek és szabályzatok közötti összhang biztosítása. 4. A szolgáltatói szabályzatok verzióinak nyilvántartása és megőrzése. 5. Nyilvános szabályzatok hitelesítése, publikálása. 6. A regisztrációs folyamat szabályozása, ellenőrzése, felülvizsgálata Az Ügyfélszolgálat feladata A Tanúsítványokkal kapcsolatos felfüggesztési, illetve visszavonási kérelmeket a Szolgáltató Ügyfélszolgálata telefonon keresztül folyamatosan (napi 24 órában) fogadja és a felfüggesztési kérelmeket végrehajtja Az Előfizető és az Aláíró feladata és jogköre Az Előfizető és az Aláíró feladata általánosságban a Szolgáltató szerződéses feltételeinek és szabályzatainak megfelelően eljárni a Szolgáltatások igénybevétele során. Ennek során az Aláíró köteles: 1. önmagát az Ügyfélkapcsolati Irodán hiteles okmányokkal igazolni, 2. a tanúsítvány igénylését és magánkulcsának felhasználását úgy végezni, hogy az harmadik fél jogait ne sértse, 14/40

15 3. a tanúsítvány igénylés és a regisztráció során valós adatokat megadni, 4. [MTT+BALE] tanúsítvány esetén biztosítani az aláírás-létrehozó eszközének valamint a PIN és PUK kódjának védelmét, 5. [MTT] tanúsítvány esetén biztosítani az aláírás-létrehozó adatának (magánkulcsának) valamint a PINkódjának védelmét 6. három munkanapon belül jelezni Szolgáltatónál a regisztráció során felvett adataiban történő változásokat, különös tekintettel a tanúsítványba foglalt adatokra, 7. az aláírás-létrehozó adatát jelen hitelesítési rendben és az előfizetői szerződésben rögzített korlátozásoknak megfelelően használni, 8. tudomásul venni, hogy magánkulcsának védelme és az elektronikus aláírás készítése kizárólag a saját felelőssége, ezért ezzel - így különösen a magánkulcsának illetéktelen harmadik személyhez kerülésével - kapcsolatban a Szolgáltatót semmiféle felelősség nem terheli, 9. [MTT+BALE] tanúsítvány esetén azonnal intézkedni tanúsítványának visszavonása, illetve felfüggesztése végett, ha az aláírás létrehozó eszköz és/vagy a PIN illetve PUK kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn 10. [MTT] tanúsítvány esetén azonnal intézkedni tanúsítványának visszavonása, illetve felfüggesztése végett, ha az aláírás létrehozó adat és/vagy a PIN kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn. 11. kompromittálódás esetén a magánkulcsának használatát azonnal és véglegesen megszakítani, 12. a tanúsítványhoz kapcsolódó elektronikus aláírással ellátott elektronikus dokumentummal kapcsolatos jogvita megindulásáról haladéktalanul tájékoztatni a Szolgáltatót, 13. az OCSP válasz felhasználók kötelesek a kért OCSP válaszok vétele után meggyőződni arról, hogy azt a Szolgáltató elektronikusan aláírta, az aláírás az OCSP válaszadásra szolgáló kulccsal történt-e és a hozzátartozó tanúsítvány érvényes-e; Az Aláíró jogosult arra, hogy a magánkulcsot birtokolja és a jogszabályokban meghatározott módon elektronikus aláíráshoz felhasználja. Előfizető köteles: 1. szervezeti adatait az Ügyfélkapcsolati Irodán hiteles okmányokkal igazolni 2. a tanúsítvány igénylés és regisztráció során valós adatokat megadni, harmadik fél jogainak megsértése nélkül 3. három munkanapon belül jelezni Szolgáltatónál a regisztráció során felvett adataiban történő változásokat, különös tekintettel a tanúsítványba foglalt adatokra 4. [MTT+BALE] tanúsítvány esetén azonnal intézkedni a vele kapcsolatban álló Aláírók tanúsítványainak viszszavonása, illetve felfüggesztése végett, ha az aláírás-létrehozó eszköz és/vagy a PIN illetve PUK-kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn 5. [MTT] tanúsítvány esetén azonnal intézkedni a vele kapcsolatban álló Aláírók tanúsítványainak visszavonása, illetve felfüggesztése végett, ha az aláírás-létrehozó adat és/vagy a PIN kód nem az Aláíró kizárólagos birtokában van (elveszett, ellopták, esetleg kompromittálták), vagy ennek alapos gyanúja áll fenn 6. tájékoztatni a Szolgáltatót az aláírással vagy az elektronikusan aláírt elektronikus dokumentummal, illetve a tanúsítvánnyal kapcsolatban észlelt - a szolgáltatási szabályzatban (HSZSZ-M) meghatározott rendellenességről, valamint az aláírással illetve az elektronikusan aláírt elektronikus dokumentummal kapcsolatos jogvita megindulásáról. 7. a szolgáltatások díjait az előfizetői szerződésben foglaltak szerint megfizetni Szolgáltató részére Érintett félre vonatkozó ajánlások Az Érintett félnek ajánlott a Szolgáltató szabályzataiban leírtaknak megfelelően a legnagyobb gondossággal eljárni az elektronikus aláírás és a tanúsítvány érvényességének elbírálásakor, ezen belül: 1. az elektronikus aláírás elfogadása előtt ajánlott megértenie az elektronikus aláírással kapcsolatos technikai, jogi, biztonsági és egyéb vonatkozásokat, 2. ajánlott megismernie Szolgáltató nyilvánosan elérhető szabályzatait (HSZSZ-M, ÁSZF-PKI és jelen HR- MTT), 3. különösen ajánlott az elektronikus aláírás ellenőrzését elvégeznie az Aláíró tanúsítványának segítségével, meggyőződve az üzenet eredetiségéről és az aláírás valódiságáról, 4. ajánlott egyértelműen meggyőződnie a Tanúsítványban feltűntetett azonosító és egyéb adatok alapján, illetve a törvényesen rendelkezésre álló módszerek segítségével az Aláíró személyéről, 15/40

16 5. a tanúsítvány érvényességét illetve hatályosságát indokolt ellenőriznie a nyilvánosan elérhető tanúsítványban, 6. ajánlott elvégeznie a teljes tanúsítási lánc ellenőrzését az alábbiak szerint: 6.1 meggyőződni a Kibocsátó kilétéről a tanúsítvány kibocsátójának azonosítója alapján; 6.2 meggyőződni az Aláíró tanúsítványának integritásáról a Szolgáltató (Kibocsátó) tanúsítványának segítségével; 6.3 indokolt ellenőriznie a tanúsítvány állapotát a tanúsítvány visszavonási listák (CRL) áttanulmányozásával vagy OCSP szolgáltatás igénybe vételével; 6.4 ajánlott tanulmányoznia a tanúsítvány összes attribútumát, és az adott tranzakcióra vonatkozó előírásoknak, valamint józan megfontolásoknak megfelelően döntést hozni az aláírás elfogadásáról, 7. ajánlott visszautasítani az elektronikus aláírás elfogadását, ha az elektronikus aláírás, az Aláíró tanúsítványa, vagy a tanúsítási lánc tanúsítványainak valamely adata annak érvénytelenségére utal, illetve ha az az adott kontextusban nem elfogadható; az aláírás elfogadása nem jelentheti az aláírt üzenet tartalmának tudomásul vételét vagy elfogadását, 8. Az OCSP választ aláíró kulcs tanúsítványának az Érintett fél által történő ellenőrzésére vonatkozóan általában érvényesek a fentiekben leírt, a tanúsítvány és a tanúsítási lánc ellenőrzésre vonatkozó szabályok. 9. Egy OCSP válasszal ellátott állomány átvétele után az Érintett félnek ajánlott ellenőriznie a Szolgáltató általi aláírás megtörténtét, az Szolgáltató OCSP választ aláíró kulcsához tartozó tanúsítvány érvényességét a Visszavont Tanúsítványok Listája segítségével a fentiekben leírt módon. 10. Az ellenőrzés a tanúsítvány érvényességének lejárta után is elvégezhető, mert az Eat. 9. (7. bek.) alapján a tanúsítványokat és a tanúsítványok ellenőrzéséhez szükséges adatokat a Szolgáltatónál a tanúsítvány lejártát követő 10 évig, illetve az aláírt és/vagy OCSP válasszal ellátott dokumentummal kapcsolatban felmerült jogvita lezárásáig meg kell őrizni és hozzáférhetővé kell tenni. A tanúsítvány tartalmának megállapításához a Szolgáltatónak kell biztosítania a megfelelő eszközt Felelősségek A Szolgáltató felelőssége A Szolgáltató a vele szerződéses jogviszonyban nem álló harmadik személlyel szemben a Magyar Köztársaság Polgári Törvénykönyvéről szóló évi IV. törvény a szerint felelős az elektronikus aláírással aláírt elektronikus dokumentummal okozott kárért, ha mulasztása bizonyítható. A Szolgáltató a vele szerződéses jogviszonyban álló Előfizetővel szemben a szerződésszegésért való felelősség szabályai szerint felelős az elektronikus aláírással aláírt elektronikus dokumentummal okozott kárért, ha megszegte a szolgáltatási szabályzatban (HSZSZ-M), az általános szerződési feltételekben (ÁSZF-PKI) vagy az Előfizetői Szerződésben előírtakat, továbbá az Eat. 7. (2) bekezdésében, a okban vagy a 14. -ban foglaltakat. E szabályok megtartását kétség esetén a Szolgáltatónak kell bizonyítania. A tanúsítványokhoz illetve a tranzakciós limitekhez kapcsolódó felelősségvállalás mértékét, mely tanúsítvány típusonként és egyedi tanúsítványonként is maximált összegű, az Előfizetői Szerződésben kell rögzíteni. A Szolgáltató nem vállal felelősséget, ha a Szolgáltató által kibocsátott tanúsítvány a jelen hitelesítési rendben és a szolgáltatási szabályzatban (HSZSZ-M) előírtaktól eltérő módon kerül felhasználásra. A Szolgáltató nem felelős az olyan károkért, melyek abból adódtak, hogy az Érintett fél a tanúsítványok ellenőrzése és felhasználása során nem a hatályos jogszabályok szerint járt el, illetve nem tanúsította a tőle elvárható gondosságot. A Szolgáltató azáltal, hogy az Előfizetők részére tanúsítványokat bocsát ki, semmilyen körülmények között sem tekinthető az Előfizetők vagy az érintett felek ügynökének, megbízottjának, képviselőjének, vagy bármilyen más, az Előfizetői Szerződésben meghatározottól eltérő funkciójú partnerének a Szolgáltatások vonatkozásában Az Előfizető és az Aláíró felelőssége Az Előfizetőnek és az Aláírónak felelőssége áll fenn a regisztráció során megadott adatainak valódiságával kapcsolatban. Az Előfizetőnek és az Aláírónak kártérítési felelőssége áll fenn a Szolgáltatóval szemben azokért a veszteségekért és károkért, melyeket a regisztráció során megadott helytelen adataival, vagy az azokban bekövetkezett változások be nem jelentésével, vagy egyéb kötelezettségeinek be nem tartásával számára okoz. Az Előfizető felelős azért, ha Aláíró magánkulcsát nem a szolgáltatási szabályzatban és a vonatkozó jogszabályokban meghatározott módon és célra használta. [MTT+BALE] tanúsítvány esetén az Előfizető és az Aláíró felelős az aláírás-létrehozó eszköz átvételét követően annak biztonságos megőrzéséért, a kapcsolódó PIN illetve PUK kód illetéktelenek tudomására jutásának megakadályozásáért. [MTT] tanúsítvány esetén az Előfizető és az Aláíró felelős az aláírás-létrehozó adat átvételét követően annak biztonságos megőrzéséért, a kapcsolódó PIN kód illetéktelenek tudomására jutásának megakadályozásáért. 16/40

17 Az OCSP választ kérő fél felelős az OCSP válaszon található elektronikus aláírás helyességének és az OCSP választ aláíró kulcs tanúsítványa érvényességének az ellenőrzésért. Az Előfizető illetve Aláíró részére történő átadást követően Szolgáltató nem vállalhat felelősséget a biztonságos aláírás-létrehozó eszköz elvesztéséből, vagy az aláírás-létrehozó adat (magánkulcs) biztonságának egyéb módon történő sérüléséből, illetve a PIN és/vagy PUK kód illetéktelen személy tudomására jutásából származó károkért. Aláíró felelősséget visel és tudomásul veszi, hogy a magánkulcsával készített elektronikus aláírás a saját elektronikus aláírásának minősül, és viseli ennek jogkövetkezményeit Érintett fél felelőssége Az Érintett fél az elektronikus aláírás és a Szolgáltató által kibocsátott tanúsítványok elfogadása során a tőle elvárható gondossággal jár el és az adott helyzetben általában elvárható magatartást tanúsítja. Az Érintett Félnek e tekintetben javasolt megismernie a jelen szolgáltatási szabályzatban rá vonatkozó ajánlásokat Az anyagi felelősség mértéke A Szolgáltató anyagi felelősségének mértékéről, illetve annak korlátairól az általános szerződési feltételekben (ÁSZF-PKI) kell rendelkezni. A Szolgáltató az anyagi felelősségre vonhatóság, az általa okozott károkkal kapcsolatos saját felelősség, illetve a neki okozott károkért járó kártérítés megállapíthatósága, dokumentálása és bizonyíthatósága érdekében köteles naplózni tevékenységeit, védeni a naplóbejegyzések sértetlenségét és hitelességét, valamint hosszú távon megőrizni azokat Értelmezés és alkalmazás Irányadó jog A Szolgáltató tevékenységét a mindenkor hatályos magyar jogszabályoknak megfelelően köteles végezni. Szerződéseire, szabályzataira és azok teljesítésére a magyar jog az irányadó és azokat a magyar jog szerint kell értelmezni. A Szolgáltató tevékenységére elsősorban az pontban felsorolt jogszabályok mérvadók: Ezeken túlmenően a Szolgáltatónak az üzleti titkok vonatkozásában az évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról, a személyes adatok vonatkozásban az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (Infotv.) szerint kell eljárni. Szolgáltató figyelembe veszi még az Európai Parlament és Európa Tanács az elektronikus aláírások közösségi programjáról szóló 1999/93/EK irányelvét is Hatályosság, megszűnés, értesítések Hatályosság A hitelesítési rend a szolgáltatási szabályzattal és az általános szerződési feltételekkel kiegészítve a felhasználói közösség résztvevőinek valamennyi kötelezettségét, felelősségét és jogát tartalmazza. A fenti dokumentumok egyetlen pontja sem értelmezhető a jelen dokumentumba foglalt értelmezéstől eltérően. A hitelesítési rend személyi és tárgyi hatályát az pont tartalmazza. A hitelesítési rend időbeli hatálya a címlapon feltüntetett hatálybalépés dátumával kezdődik és határozatlan időre szól. Időbeli hatálya megszűnik a szolgáltatási tevékenység beszüntetésekor, illetve egy újabb verzió hatályba lépésével. A hitelesítés rend módosítását a vonatkozó jogszabályok szerint 30 nappal előzetesen be kell jelenteni az illetékes hatóság (NMHH) részére nyilvántartásba vétel céljából Megszűnés A hitelesítési rend a Szolgáltató szolgáltatási tevékenységének befejezésével tekintendő megszűntnek Értesítések A Szolgáltató az Aláírókat, Előfizetőket és Érintett feleket a Szolgáltatások Internetes honlapján történő közzététellel, illetve az Ügyfélkapcsolati Irodában elérhető dokumentumokkal tájékoztatja. Az Ügyfélkapcsolati Iroda az Előfizetőket és Aláírókat esetenként írásban vagy elektronikus úton is értesítheti. 17/40

18 Az Előfizetők, az Aláírók és az Érintett felek vagy bármely harmadik fél megkeresheti az Ügyfélkapcsolati Irodát írásban postai úton, -ben vagy faxon, továbbá munkanapokon ügyfélfogadási időben személyesen vagy telefonon. Az írásban vagy elektronikus úton történő kommunikáció esetében a feladó nevét és elérhetőségét fel kell tüntetni és a feladónak a küldeményt hitelesítenie kell Vitás kérdések kezelése Bármely vitás kérdés felmerülése esetén az Aláírónak és/vagy az Előfizetőnek kötelessége a Szolgáltató haladéktalan értesítése és teljeskörű tájékoztatása a kérdés minden vonatkozását érintően, a vita jogi útra terelése előtt. Panaszt az Ügyfélkapcsolati Irodán lehet írásban vagy szóban előterjeszteni. A panaszt a Szolgáltató köteles az előterjesztéstől számított 15 munkanapon belül kivizsgálni és ennek eredményéről a panaszost írásban tájékoztatni. A jogviták esetén követendő eljárást az általános szerződési feltételekbe kell foglalni Díjak A Szolgáltató jogosult önálló üzletpolitikát kialakítani és Szolgáltatásaiért díjat szedni. A Szolgáltató díjazására vonatkozó információkat a szolgáltatási szabályzat (HSZSZ-M) tartalmazza. A szolgáltatási díjakat a Szolgáltató Internetes honlapján keresztül is közzéteheti Közzététel Szolgáltatói információk közzététele A Szolgáltatónak gondoskodnia kell arról, hogy az általa kibocsátott előfizetői és szolgáltatói tanúsítványok, a tanúsítványokkal kapcsolatos szabályzatok, a tanúsítványok felfüggesztett vagy visszavont állapotára vonatkozó információk, valamint az egyéb közérdekű szolgáltatói közlemények és információk az Előfizetők, Aláírók és az Érintett felek részére folyamatosan rendelkezésre álljanak. A Szolgáltatónak a szolgáltatói információkat a Szolgáltatások Internetes honlapján keresztül kell elérhetővé tennie. Szolgáltatónak csak saját elektronikus aláírásával ellátott szabályzatai tekinthetők hitelesnek. A dokumentumok nyomtatott változatai semmilyen formában sem tekinthetők hivatalos példánynak vagy hiteles másolatnak A közzététel gyakorisága A Szolgáltató a kibocsátott előfizetői tanúsítványokat a Tanúsítványtárban 24 órán belül köteles közzétenni. A Szolgáltató az általa működtetett hitelesítő központok szolgáltatói tanúsítványait 24 órán belül köteles közzétenni. A Szolgáltató a Visszavont Tanúsítványok listáját a visszavonást (vagy felfüggesztést, illetve az újraérvényesítést) követő 60 percen belül köteles közzétenni. A Szolgáltató a Visszavont Tanúsítványok Listáját legfeljebb 24 óránként frissíti, azaz, két egymást követő viszszavonási lista megjelenése közötti idő nem haladhatja meg a 24 órát Elérési szabályok A Szolgáltató minden Aláíró, Előfizető és Érintett fél számára köteles elérhetővé tenni a Szolgáltatások internetes honlapját, a szolgáltatói információk közzététele céljából. A Szolgáltató biztosítja, hogy belső adatbázisait és egyéb adatállományait csak és kizárólag a Szolgáltató biztonsági szabályzatai által meghatározott szerepkörű és jogosultságú munkatársai érhetik el egyénileg differenciált azonosítás-hitelesítési és feljogosítási eljárásban Tanúsítványtár és tanúsítvány visszavonási lista A Szolgáltató az általa kibocsátott előfizetői tanúsítványokat a Tanúsítványtárában helyezi el és a Szolgáltatások internetes honlapján teszi hozzáférhetővé. Szolgáltató keresési lehetőséget biztosíthat a Tanúsítványtárban az Aláíró illetve Előfizető tanúsítványban foglalt adatai alapján. A Szolgáltató a tanúsítványok felfüggesztett vagy visszavont állapotára vonatkozó információkat a Szolgáltatások internetes honlapján a visszavont tanúsítványok listája (CRL Certificate Revocation List) révén teszi elsődlegesen hozzáférhetővé; emellett a tanúsítványok állapotára vonatkozóan Szolgáltató OCSP szolgáltatást is nyújt. 18/40

19 2.7. A megfelelőség vizsgálata Szolgáltatónak megfelelőségi vizsgálatokat és ellenőrzéseket kell elvégeznie illetve elvégeztetnie annak érdekében, hogy a Szolgáltatásaival kapcsolatos folyamatai, személyzete, eszközei és környezete mindenkor megfeleljenek a vonatkozó jogszabályi és szakmai követelményeknek. A Szolgáltatónak a Szolgáltatások nyújtása során olyan elektronikus aláírási terméket kell használnia, amely rendelkezik a 9/2005. (VII. 21.) IHM rendelet szerint kijelölt szervezet vagy ezzel egyenértékű Európai Uniós szervezet által kiadott tanúsítással, illetve szerepel az illetékes hatóság (NMHH) nyilvántartásában. [MTT+BALE] tanúsítványok esetén Szolgáltatónak csak olyan biztonságos aláírás létrehozó eszközt kell biztosítania Előfizetők illetve Aláírók részére, amely rendelkezik a 9/2005. (VII. 21.) IHM rendelet szerint kijelölt szervezet vagy ezzel egyenértékű Európai Uniós szervezet által kiadott tanúsítással, illetve szerepel az illetékes hatóság (NMHH) nyilvántartásában. Fentiek alapján a megfelelőségi vizsgálatoknak ki kell terjedniük az alábbiakra: dokumentálás és folyamatok megfelelősége, adatvédelem a személyi állomány ellenőrzése eszközök, termékek tanúsítottságának megfelelősége fizikai környezet és szolgáltatói rendszerek biztonsága Vizsgálatok gyakorisága A megfelelőségi vizsgálatokat a szolgáltatási tevékenység kezdetekor el kell végezni, és rendszeresen meg kell ismételni. A Szolgáltató megbízásából elvégzett külső, illetve belső vizsgálatokat a Biztonsági Szabályzatában megjelölt rendszerességgel kell elvégezni. Az illetékes hatóság (NMHH) által a jogszabályoknak megfelelően végzett átfogó helyszíni ellenőrzésre évente kerül sor. Fentieken túl a vizsgálatokat a jogszabályi feltételek vagy Szolgáltatásokban bekövetkezett jelentősebb változások alkalmával is el kell végezni Az átvizsgáló szervezet jellemzői A Szolgáltató megfelelőségi vizsgálatai lehetnek külső vagy belső ellenőrzések illetve auditok. A vizsgálatokat végző szervezeteknek, személyeknek függetlennek kell lenniük a Szolgáltató Szolgáltatásokért felelős szervezeti egységétől. A vizsgálatokat csak megfelelő jogi és szakmai ismeretek birtokában lévő, tapasztalt szakemberek végezhetik Hiányosságok kezelése A vizsgálatok során feltárt hiányosságok kezelésére és megszüntetésére Szolgáltatónak eljárásokat kell kialakítania, és ezeket a szolgáltatási szabályzatában (HSZSZ-M) ismertetnie kell Eredmény kommunikációja A hiányosságok kezeléséről és megszűntetéséről a Szolgáltató az illetékes hatóságot (NMHH) tájékoztatja. A Szolgáltató nem köteles a feltárt konkrét hiányosságokat nyilvánosságra hozni Bizalmasság Adatkezelési elvek Szolgáltatónak gondoskodnia kell a jogszabályoknak való megfelelésről. Ennek keretén belül: a felvett adatokat és a fontos bejegyzéseket védenie kell az elveszéstől, tönkretételtől és hamisítástól. A jogszabályoknak való megfelelés, valamint az alapvető üzleti tevékenységek támogatása érdekében szükség van a lényeges bejegyzések biztonságos megőrzésére is. biztosítania kell az adatvédelmi törvényeknek való megfelelést megfelelő technikai és szervezeti intézkedéseket kell hoznia a személyes adatok felhatalmazás nélküli, illetve törvénytelen kezelése ellen, valamint a személyes adatok véletlen elveszése, megsemmisülése, illetve károsodása ellen, gondoskodnia kell az Aláíróra vonatkozó adatok és információk bizalmas kezeléséről, kivéve, ha felfedésükhöz ők maguk hozzájárulnak, vagy ha bíróság illetve jogszabály ezt előírja 19/40

20 Bizalmas információk Szolgáltató bizalmas információként kell kezelje az Aláírók valamint Előfizetők (tanúsítványba foglalt adatai kivételével) minden olyan adatát, amely nem nyilvános adat. Szolgáltató ezen kívül bizalmas információként kezelje a következő adatokat és dokumentumokat: magánkulcsok és aktivizáló kódok, tanúsítványigénylések és szerződések, tranzakciós és napló adatok, nem nyilvános szabályzatok, illetve minden olyan adat, amelynek nyilvánosságra kerülése a szolgáltatás biztonságát előnytelenül befolyásolná Nem bizalmas információk A Szolgáltató a regisztrációs űrlapon köteles külön jelölni mindazon adatokat, melyek az Előfizető vagy az Aláíró hozzájárulásával - a Tanúsítványtárban hozzáférhető előfizetői tanúsítványban nyilvánosságra kerülnek Tanúsítvány visszavonási és felfüggesztési okok felfedése A Szolgáltató az általa kibocsátott tanúsítványok felfüggesztését és visszavonását tanúsítvány-visszavonási listákban, illetve OCSP szolgáltatás keretében teszi közzé. A Szolgáltató a tanúsítvány visszavonás okát a vonatkozó szakmai ajánlások által támogatott módon fel kell tüntesse a visszavonási listában, illetve az OCSP kérésekre adott válaszaiban. Ezen kívül a visszavonással kapcsolatos minden egyéb adatot bizalmasan kell kezeljen Feltárás törvényi meghatalmazással rendelkezők részére A Szolgáltató az elektronikus aláírás felhasználásával elkövetett bűncselekmények felderítése vagy megelőzése céljából, illetőleg nemzetbiztonsági érdekből az érintett személyazonosságát igazoló adatok tekintetében az Eat. 11. paragrafusa alapján köteles adatokat továbbítani a nyomozó hatóságnak és a nemzetbiztonsági szolgálatoknak. Az adatátadás tényét rögzíteni kell, az adatátadásról a Szolgáltató sem az Előfizetőt sem az Aláírót nem tájékoztathatja Információszolgáltatás polgári eljárás keretében A Szolgáltató a tanúsítvány érvényességét érintő polgári peres, illetve nem peres eljárás során - az érintettség igazolása esetén - az Aláíró személyazonosságát igazoló adatokat átadhatja az ellenérdekű peres félnek vagy képviselőjének feltárhat bizalmas felhasználói információkat, illetőleg azt közölheti a megkereső bírósággal az Eat. 11. paragrafusa alapján. A Szolgáltató köteles rögzíteni az információszolgáltatás tényét és arról az Előfizetőt tájékoztatni Feltárás tulajdonos kérésére Szolgáltató a törvényi meghatalmazással rendelkezők részére történő adatszolgáltatáson túl más Társaság üzleti titkát, az Előfizetők és az Aláírók nem nyilvános személyes adatait csak az Aláíró illetve Előfizető írásos meghatalmazása alapján tárhatja fel harmadik fél részére Feltárás más esetekben Szolgáltatónak tevékenysége befejezésekor nyilvántartásait, a bizalmas adatokkal együtt, át kell adnia más - vele azonos besorolású szolgáltató részére az Eat. 16. (2.) bekezdése szerint Szellemi tulajdonhoz fűződő jogok A Szolgáltató által ügyfelei részére kibocsátott tanúsítvány és az ennek megfelelő kulcspár tulajdonosa az Előfizető, teljes jogú használója pedig az Aláíró, tekintet nélkül arra a fizikai közegre, amely tárolja és védi a kulcsokat. A Szolgáltató a tanúsítványt a kikötéseiben és feltételeiben ismertetett módon közzéteheti, sokszorosíthatja, viszszavonhatja, s egyéb módon kezelheti. A visszavonási információ a Szolgáltató tulajdonát képezi. A Szolgáltató által az Aláíró részére kibocsátott egyedi azonosító a Szolgáltató tulajdonát képezi. A tanúsítványban szereplő megkülönböztető név használatára a megnevezett Aláíró jogosult. 20/40