ALÁÍRÁSI SZABÁLYZAT a WizzAir Hungary Kft. elektronikus számlakibocsátási rendszere számára

Átírás

1 ALÁÍRÁSI SZABÁLYZAT a WizzAir Hungary Kft. elektronikus számlakibocsátási rendszere számára Egyedi objektum-azonosító (OID): Verziószám: 1.0 A hatályba lépés dátuma:

2 2 Aláírási Szabályzat Változáskezelés Verzió Dátum A változás leírása Draft Első munkaverzió Draft Bővített és pontosított munkaverzió Első érvényes állapot.

3 3 Aláírási Szabályzat Tartalomjegyzék VÁLTOZÁSKEZELÉS BEVEZETÉS ALÁÍRÁSI SZABÁLYZAT ADATOK ALÁÍRÁSI SZABÁLYZAT AZONOSÍTÓ AZ ALÁÍRÁSI SZABÁLYZAT HATÁLYA A szabályzat tárgyi hatálya A szabályzat területi hatálya A szabályzat időbeli hatálya A szabályzat személyi hatálya AZ ALÁÍRÁSI SZABÁLYZAT KARBANTARTÁSA (VÁLTOZÁSKEZELÉS) SZABÁLYZAT KÖZZÉTÉTELE KAPCSOLÓDÓ SZABÁLYZATOK ÉS DOKUMENTUMOK ALÁÍRÁS ÉRVÉNYESÍTÉSI SZABÁLYZAT AZ ELEKTRONIKUS ALÁÍRÁSOK KÖTELEZETTSÉGVÁLLALÁSI TÍPUSA ÉRVÉNYESÍTÉSI ADATOKRA VONATKOZÓ SZABÁLYOK Az aláíró fél kötelezettségei Az aláírást ellenőrző fél kötelezettségei FORMÁTUMOKRA VONATKOZÓ SZABÁLYOK Elektronikusan aláírható formátumok Az elektronikus aláírás formátuma HITELESÍTÉS-SZOLGÁLTATÓK HASZNÁLATÁRA VONATKOZÓ SZABÁLYOK A tanúsítási láncra vonatkozó szabályok Visszavonási szabályok IDŐBÉLYEGZÉS-SZOLGÁLTATÓK HASZNÁLATÁRA VONATKOZÓ SZABÁLYOK A tanúsítási láncra vonatkozó szabályok Visszavonási szabályok Kivárási időre vonatkozó szabályok Időbélyegzés késésére vonatkozó szabályok ALGORITMUS MEGKÖTÉSEKRE ÉS KULCSHOSSZAKRA VONATKOZÓ SZABÁLYOK AZ ALÁÍRÁS LÉTREHOZÁSA ELŐKÉSZÜLETEK AZ ALÁÍRÁS LÉTREHOZÁSÁRA A Marketline Integrált Aláíró Modul telepítése Kulcsgenerálás... 15

4 4 Aláírási Szabályzat A szolgáltatói és gyökér tanúsítványok telepítése AZ ALÁÍRÁS LÉTREHOZÁS FOLYAMATA Aktiválási adatok megadása Aláírás létrehozása Az aláírás kezdeti ellenőrzése az aláíró fél által Az aláírás érvényessége VISSZAVONÁS ÉS FELFÜGGESZTÉS KÜLÖNLEGES SZABÁLYAI AZ ALÁÍRÁS ELLENŐRZÉSE ELŐKÉSZÜLETEK AZ ALÁÍRÁS ELLENŐRZÉSÉRE A Verify telepítése A szolgáltatói és gyökér tanúsítványok telepítése AZ ALÁÍRÁS-ELLENŐRZÉSI FOLYAMAT Aláírás érvényesítési adatok Az aláírás érvényessége MEGHATÁROZÁSOK... 21

5 5 Aláírási Szabályzat 1. Bevezetés Jelen dokumentum a WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerének és annak tranzakciós környezetének aláírási szabályzata, mely a számla kibocsátásában és elfogadásában résztvevő felek aláírási és aláírás ellenőrzési tevékenységére vonatkozik. A számlakibocsátási rendszerben elsősorban az alábbi két modulra vonatkozóan határoz meg jelen aláírási szabályzat követelményeket: az T-Online Magyarország Részvénytársaság - Marketline Integrált Aláíró Modul nevű minősített termékére (a továbbiakban MIAM) mely az elektronikus számlák aláírását, az aláírás utólagos ellenőrzését támogató kezdeti ellenőrzését, valamint archiválását végzi el, valamint a MultiSigno Verify nevű, (a továbbiakban Verify) ingyenesen letölthető (nem minősített) termékét, melynek segítségével a számla címzettje ellenőrizheti az elektronikus számla aláírását.

6 6 Aláírási Szabályzat 2. Aláírási szabályzat adatok 2.1. Aláírási szabályzat azonosító Az aláírási szabályzat egyedi azonosítója: Az aláírási szabályzat kibocsátás ideje: Az aláírási szabályzat kibocsátója: lásd a borítólapon feltüntetett értéket lásd a borítólapon feltüntetett dátumot WizzAir Hungary Kft Az aláírási szabályzat hatálya A szabályzat tárgyi hatálya Az aláírási szabályzat tárgyi hatálya a WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerére, az ebben megvalósított elektronikus tranzakciókra terjed ki, különösen a Marketline Integrált Aláíró Modulra és a MultiSigno Verify programjára A szabályzat területi hatálya Az aláírási szabályzat területi hatálya Magyarország teljes területe A szabályzat időbeli hatálya Az aláírási szabályzat határozatlan időre szól a borítólapon és a változáskezelés táblázatban feltüntetett jelen verzióra érvényes hatálybalépés dátumától kezdődően. Az aláírási szabályzat időbeli hatálya az aláírási szabályzat visszavonásával, illetve egy újabb verzió hatályba lépésékor szűnik meg A szabályzat személyi hatálya Az aláírási szabályzat személyi hatálya kiterjed a WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerét kezelő személyekre (akik a számlák elektronikus aláírásáért felelősek), valamint a kibocsátott számlák címzettjeire (a WizzAir Hungary Kft. elektronikus számláit elfogadó ügyfeleire, akik a számlák elektronikus aláírását ellenőrzik).

7 7 Aláírási Szabályzat 2.3. Az aláírási szabályzat karbantartása (változáskezelés) Az aláírási szabályzatot a WizzAir Hungary Kft. előzetes értesítés nélkül, bármikor módosíthatja. A módosított szabályzatot a hatályba lépést megelőző legkevesebb 2 nappal a WizzAir Hungary Kft. az aláírt számlákat elfogadó ügyfelei számára közzéteszi, és erről értesítést küld. A szabályzat hatályon kívül helyezett korábbi verzióit a WizzAir Hungary Kft. megőrzi, és megkeresés esetén egy példányát biztosítja az érdekelt felek számára. Az aktuális (jelen) aláírási szabályzatot a WizzAir Hungary Kft. elektronikus számláit elfogadó ügyfelei elfogadják és magukra érvényesnek tekintik. A szabályzat módosítása esetén, a WizzAir Hungary Kft. elektronikus számláit elfogadó ügyfelei, az új szabályzat hatályba lépéséig kifogással élhetnek, ennek elmulasztása a szabályzat elfogadását jelenti Szabályzat közzététele Az aláírási szabályzat aktuális változatát a WizzAir Hungary Kft. a honlapján teszi közzé. A szabályzat PDF formátumban kerül nyilvánosságra.

8 8 Aláírási Szabályzat 2.5. Kapcsolódó szabályzatok és dokumentumok Jelen aláírási szabályzat a Matáv Hitelesítési Szolgáltatási Szabályzata, a Matáv tanúsítványtípusok Tanúsítvány Szabályzatainak, valamint a Matáv időbélyegzés-szolgáltatás Időbélyegzés Szolgáltatási Politikájának megfelelően készült. A WizzAir Hungary Kft. elektronikus aláíró rendszerében felhasznált egyes kriptográfiai kulcsok generálásának és tárolásának szabályaira külön belső szabályzat vonatkozik (A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerének kulcskezelési szabályzata). A Marketline Integrált Aláíró Modul felhasználását a MIAM üzemeltetési leírása tárgyalja. A Verify felhasználását az alkalmazáshoz mellékelt pdf állomány mutatja be. Matáv szabályzatok A WizzAir Hungary Kft. által a számla kibocsátásához használt tanúsítványok kibocsátását és kezelését a Matáv Rt. Hitelesítési Szolgáltatási Szabályzatának és az e-szignó Fokozott Üzleti Tanúsítvány Szabályzatának megfelelően végzi. A Matáv Rt. az időbélyegzés szolgáltatást a Matáv Időbélyegzés-szolgáltatás Időbélyegzés Szolgáltatási Politika, valamint a Minősített e-szignó Hitelesítés- és Időbélyegzés-szolgáltatási Szabályzatának megfelelően végzi. A fent említett nyilvános szabályzatok az eszignó holnapján elérhetők.

9 9 Aláírási Szabályzat 3. Aláírás érvényesítési szabályzat 3.1. Az elektronikus aláírások kötelezettségvállalási típusa Minden elektronikus aláírás egyben kötelezettségvállalást is jelent. Jelen aláírási szabályzat a hatálya alá tartozó valamennyi elektronikus aláírásra az alábbi kötelezettségvállalási típust rendeli: Az elektronikus számlák aláírásával az aláíró (a WizzAir Hungary Kft., amely nevében az aláíró személy egy erre felhatalmazott munkatárs) elismeri, hogy ő készítette, hagyta jóvá és küldte a számlát, az aláírásban jelölt időpontban, az aláírás ellenőrzésére szolgáló tanúsítványban megjelölt WizzAir Hungary Kft. nevében. Az így létrehozott elektronikus aláírás a WizzAir Hungary Kft. hivatalos céges aláírásának számít. Mivel az aláírási szabályzat egyetlen kötelezettségvállalást határoz meg valamennyi hatálya alá tartozó aláírásra, a továbbiakban az aláírások érvényességére (létrehozására és ellenőrzésére) vonatkozó szabályok egységesen, minden elektronikus számla aláírására vonatkoznak Érvényesítési adatokra vonatkozó szabályok A jelen aláírási szabályzat hatálya alá tartozó aláírásokat létrehozó és elfogadó felek felelősségére vonatkozó követelmények az alábbiak: Az aláíró fél kötelezettségei Az elektronikus számlát aláíró félnek (WizzAir Hungary Kft.) az aláírás létrehozásán kívül végre kell hajtania az aláírás kezdeti ellenőrzését is, s e két tevékenység együttesével biztosítania kell az elektronikus aláírás utólagos letagadhatatlanságához szükséges valamennyi érvényesítési adatot. Az aláíró félnek az aláírás létrehozásakor az elektronikus aláírást ki kell egészítenie az alábbiakkal: a jelen aláírási szabályzat azonosítója (aláírt aláírási jellemzőként), az aláíráshoz felhasznált végfelhasználói tanúsítvány (aláírt aláírási jellemzőként), időbélyegző (nem aláírt aláírási jellemzőként). Az aláíró félnek az aláírás kezdeti ellenőrzésekor (melyet a pont alatt meghatározott kivárási idő után kell végrehajtania) az elektronikus aláírást ki kell egészítenie az alábbiakkal: az aláírás időpontját követő 24 órán belül kibocsátott érvényes visszavonási lista, a visszavonási lista aláírásához használt szolgáltatói tanúsítvány (nem aláírt aláírási jellemzőként). Az aláírás létrehozásának folyamatát a 4. fejezet részletezi.

10 10 Aláírási Szabályzat Az aláírást ellenőrző fél kötelezettségei Az elektronikus számlát elfogadó (az aláírást ellenőrző) felek a számla megérkezését követően ellenőrizhetik az elektronikus aláírás érvényességét. Ennek során az ellenőrző feleknek nem kell érvényesítési adatokat begyűjteniük, az aláírás ellenőrzését kizárólag az aláírásban megtalálható, az aláíró által már elhelyezett érvényesítési adatok, illetve a tanúsítványtárukba korábban már telepített megbízható tanúsítványok alapján hajthatják végre (kezdeti ellenőrzést tehát nem kell végezniük, közvetlenül utólagos ellenőrzést hajthatnak végre). Az aláírás ellenőrzésének folyamatát az 5. fejezet részletezi Formátumokra vonatkozó szabályok Elektronikusan aláírható formátumok A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerében kizárólag pdf formátumú elektronikus számlákat (számlaképeket) lehet aláírni Az elektronikus aláírás formátuma Az aláíró félnek az aláírást az XML-Signature RFC 3275 (XML-Signature Syntax and Processing) szabványnak megfelelő formátumban kell elkészíteni. Az elektronikus számla egy aláírást tartalmaz, a rendszerben többszörös aláírások létrehozására nem kell felkészülni. Az aláíró fél által az aláírás létrehozását követő kivárási idő (lásd pont) leteltével végrehajtott kezdeti ellenőrzés a fenti szabványos formátumot nem módosíthatja, abban egyedül a visszavonási listát cseréli le az aktuálisan visszavonási listára. Az ellenőrző feleknek az aláírás utólagos ellenőrzését a kapott XML-Signature RFC 3275 szabványnak megfelelő formátumú, egyszeres aláírást tartalmazó elektronikus aláírásra kell elvégezniük Hitelesítés-szolgáltatók használatára vonatkozó szabályok A tanúsítási láncra vonatkozó szabályok A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerében kizárólag a Matáv Rt. által, annak eszignó szolgáltatása keretében kibocsátott végfelhasználói tanúsítványok alkalmazhatók, melyek regisztrálását a Matáv Rt. végezte. A végfelhasználói tanúsítványok az alábbiakkal azonosíthatók: Kibocsátó (Issuer: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU),

11 11 Aláírási Szabályzat Sorozatszám (SerialNumber: sorozatszám). A végfelhasználói tanúsítványok fokozott biztonsági szintűek és 1 éves érvényességi idővel rendelkeznek. A rendszerben kibocsátott végfelhasználói tanúsítványokat a Matáv kibocsátó hitelesítő egység szolgáltatói tanúsítványával írja alá (hitelesíti). A szolgáltatói tanúsítvány a következő adatok alapján azonosítható: Sorozatszám (SerialNumber: 0084) Kibocsátó (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Alany (Subject: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU) SHA1 lenyomat: DF62 0A85 75A4 62AC 77E6 CDA0 AD5D AB2A A41B 0B2A A szolgáltatói tanúsítvány fokozott biztonsági szintű és 5 éves érvényességi idővel rendelkezik. A Matáv kibocsátó hitelesítő egység tanúsítványát a Deutche Telekom gyökér hitelesítő egység tanúsítványa igazolja saját aláírásával. A gyökér tanúsítvány a következő adatok alapján azonosítható: Sorozatszám (SerialNumber: 0024) Kibocsátó (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Alany (Subject: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) SHA1 lenyomat: 9E6C EB A29E C606 0CA5 3E19 74AF 94AF 59D4 A gyökér tanúsítvány fokozott biztonsági szintű és 20 éves érvényességi idővel rendelkezik Visszavonási szabályok A végfelhasználói tanúsítványok érvényességének ellenőrzéséhez a visszavonási listákat is alkalmazni kell. A visszavonási listákat a Matáv kibocsátó hitelesítő egység írja alá és bocsátja ki, legfeljebb 24 óránként. A visszavonási listák az aláíró fél számára a Matáv tanúsítványtárából érhetők el, a végfelhasználói tanúsítványokban jelölt címen. A visszavonási lista az ellenőrző fél számára az elektronikus aláírásból nyerhető ki. A visszavonási listákat a kibocsátó hitelesítő egység ugyanazon tanúsítványa igazolja, mint a végfelhasználói tanúsítványokét (lásd alatti szolgáltatói tanúsítvány).

12 12 Aláírási Szabályzat A végfelhasználói tanúsítványokhoz tartozó visszavonási listák ezzel a tanúsítvánnyal ellenőrizhetők és ellenőrizendők. A szolgáltatói tanúsítvány és az ezt hitelesítő gyökér tanúsítvány érvényességének ellenőrzéséhez nem kell visszavonási listákat alkalmazni Időbélyegzés-szolgáltatók használatára vonatkozó szabályok Jelen aláírási szabályzat időbélyegzők használatát is megköveteli A tanúsítási láncra vonatkozó szabályok A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerében kizárólag a Matáv Rt. által szolgáltatott időbélyegzők alkalmazhatók. A Matáv Rt. időbélyegzők aláírásához használt szolgáltatói tanúsítványa a következő adatok alapján azonosítható: Kibocsátó (Issuer: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Kibővített kulcshasználat (ExtendedKeyUsage: /Időbélyegzés/) Az időbélyegzők aláírásához használt szolgáltatói tanúsítványt a Matáv Minősített Hitelesítésszolgáltató, mint gyökér hitelesítő egység gyökér tanúsítványa igazolja (aláírásával). Ez a gyökér tanúsítvány a következő adatok alapján azonosítható: Sorozatszám (SerialNumber: 01) Kibocsátó (Issuer: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Alany (Subject: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) SHA1 lenyomat: 691D 25F1 298B 8ECC EF4E FC77 04CE D79F BDCA AE2D Visszavonási szabályok Az időbélyegzők aláírásához használt szolgáltatói tanúsítvány és az ezt hitelesítő gyökér tanúsítvány érvényességének ellenőrzéséhez nem kell visszavonási listákat alkalmazni Kivárási időre vonatkozó szabályok Az aláíró fél, az aláírás létrehozását követően 24 órás kivárási idő után hajthatja csak végre a kezdeti ellenőrzést.

13 13 Aláírási Szabályzat Az aláíró fél csak a kezdeti ellenőrzés végrehajtása után (az ennek során érvényesítési adatokkal véglegesen kiegészített formában) teheti elérhetővé az aláírt elektronikus számlát az ellenőrző felek számára Időbélyegzés késésére vonatkozó szabályok Jelen aláírási szabályzat nem várja el az aláírásban elhelyezett aláírási időpont és az időbélyegzőben megjelölt időpont közötti időkülönbség vizsgálatát. Mind a kezdeti, mind az utólagos ellenőrzés során az aláírás létrehozásának időpontjának az időbélyegzőben megjelölt időpontot kell tekinteni. (Az ellenőrző feleknek az aláírás ellenőrzésekor ezen időpont szerint kell vizsgálni az aláírás és a tanúsítványok érvényességét) Algoritmus megkötésekre és kulcshosszakra vonatkozó szabályok A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerében kizárólag az alábbi algoritmusok alkalmazhatók az aláírásokhoz, az alábbi minimális kulcshosszak mellett: Elektronikus számla aláírásra (végfelhasználói tanúsítványok): RSA aláíró algoritmus 1024 bites kulcsmérettel, SHA-1 lenyomat képző algoritmus, PKCS #1 (emsa-pkcs1-v1_5) feltöltő algoritmus. Végfelhasználói tanúsítványok aláírására (szolgáltatói tanúsítvány): RSA aláíró algoritmus 2048 bites kulcsmérettel, SHA-1 lenyomat képző algoritmus, PKCS #1 (emsa-pkcs1-v1_5) feltöltő algoritmus. Visszavonási listák aláírására (szolgáltatói tanúsítvány): RSA aláíró algoritmus 2048 bites kulcsmérettel, SHA-1 lenyomat képző algoritmus, PKCS #1 (emsa-pkcs1-v1_5) feltöltő algoritmus. Időbélyegzők aláírására (szolgáltatói tanúsítvány): RSA aláíró algoritmus 2048 bites kulcsmérettel, SHA-1 lenyomat képző algoritmus, PKCS #1 (emsa-pkcs1-v1_5) feltöltő algoritmus.

14 14 Aláírási Szabályzat A végfelhasználói tanúsítványok aláírására és a visszavonási listák aláírására használt szolgáltatói tanúsítványok aláírására (1. gyökér tanúsítvány): RSA aláíró algoritmus 1024 bites kulcsmérettel, MD5 lenyomat képző algoritmus, PKCS #1 (emsa-pkcs1-v1_5) feltöltő algoritmus. Az időbélyegző aláírására használt szolgáltatói tanúsítvány aláírására (2. gyökér tanúsítvány): RSA aláíró algoritmus 2048 bites kulcsmérettel, SHA-1 lenyomat képző algoritmus, PKCS #1 (emsa-pkcs1-v1_5) feltöltő algoritmus.

15 15 Aláírási Szabályzat 4. Az aláírás létrehozása 4.1. Előkészületek az aláírás létrehozására Az aláíró fél (WizzAir Hungary Kft.) központi rendszerében számos előkészület szükséges az elektronikus számlák aláírásának végrehajthatóságához A Marketline Integrált Aláíró Modul telepítése Az elektronikus számlák aláírását és kezdeti ellenőrzését végző központi rendszerében a program fejlesztőinek közreműködésével telepíteni kell a Marketline Integrált Aláíró Modult. A telepítés során ellenőrizni kell a Marketline Integrált Aláíró Modul által használt MultiSigno Developer verziószámát Kulcsgenerálás A Marketline Integrált Aláíró Modul által használt kulcsokat a WizzAir Hungary Kft. nevében aláíró személyek generálják böngészőjükben szoftveres úton, majd telepítik azokat a Marketline Integrált Aláíró Modult futtató (DigSig) szerverre. A kulcsgenerálás és tárolás szabályait az "A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerének kulcskezelési szabályzata" tárgyalja részletesen A szolgáltatói és gyökér tanúsítványok telepítése Az aláírások létrehozásához és kezdeti ellenőrzéséhez szükséges szolgáltatói és gyökér tanúsítványokat megbízható tanúsítványként a Marketline Integrált Aláíró Modult futtató gép Windows operációs rendszerének tanúsítványtárában kell eltárolni, ahhoz, hogy az aláírás ellenőrzésekor ne kelljen minden alkalommal manuálisan ellenőrizni őket. E tanúsítványok biztonságos kiválasztása és tárolása a rendszer biztonsága szempontjából kritikus fontosságú. A tanúsítványtár csak azokat a szolgáltatói és gyökér tanúsítványokat tartalmazhatja megbízható tanúsítványként, melyek a rendszer működéséhez szükségesek, s melyek egyértelműen azonosíthatóak a és pontokban leírtak alapján. Minden egyéb, előre feltelepített tanúsítványt a tanúsítványtárból törölni kell, s a későbbiekben sem telepíthető az adott gépre más tanúsítvány. A Marketline Integrált Aláíró Modult futtató gépén az operációs rendszer, valamint a gép logikai és fizikai védelmén keresztül gondoskodni kell a tanúsítványtár biztonságáról. E védelemnek garantálnia kell, hogy illetéktelen módon a tanúsítványtárból törölni, és oda felvenni tanúsítványt ne lehessen.

16 16 Aláírási Szabályzat 4.2. Az aláírás létrehozás folyamata Aktiválási adatok megadása A Marketline Integrált Aláíró Modul az elektronikus aláírásokat automatikusan, emberi közreműködés és jóváhagyás nélkül végzi. A magánkulcsok aktiválásáról az aktiválási adatot ismerő tulajdonosoknak kell gondoskodni a működés megkezdésekor, az "A WizzAir Hungary Kft. elektronikus számlakibocsátási rendszerének kulcskezelési szabályzata" előírásainak megfelelően Aláírás létrehozása A Marketline Integrált Aláíró Modul az elektronikus aláírásokat szoftveres úton, külön aláíró eszköz nélkül hozza létre Az aláírás kezdeti ellenőrzése az aláíró fél által Az aláírás létrehozását követő kivárási idő (lásd pont) leteltével a Marketline Integrált Aláíró Modul az aláírásra végrehajt egy kezdeti ellenőrzést is. Az aláírás (és ezen keresztül az aláírt elektronikus számla) csak akkor véglegesíthető, ha ez a kezdeti aláírás ellenőrzés érvényes eredményt ad vissza Az aláírás érvényessége A kezdeti aláírás ellenőrzés, s ezen keresztül az aláírás létrehozása érvényes, ha együttesen teljesülnek az alábbi feltételek: Az aláírói dokumentum egy nem üres dokumentum. Az aláíró rendelkezik aláírást létrehozó adattal (magánkulccsal). Az aláíró rendelkezik tanúsítvánnyal. Amennyiben az aláíró több tanúsítvánnyal és aláírást létrehozó adattal is rendelkezik, előzetesen választ ezekből. Az aláírás ellenőrzése érvényes eredményt ad. Az aláírás-létrehozás érvénytelen, ha az alábbi feltételek bármelyike teljesül: Az aláírói dokumentum egy üres fájl. Az aláíró nem rendelkezik aláírás-létrehozó adattal (magánkulccsal). Az aláíró nem rendelkezik tanúsítvánnyal. Az aláíró több tanúsítvánnyal és aláírást létrehozó adattal is rendelkezik, és előzetesen nem választott ezekből. Az aláírás ellenőrzése érvénytelen eredményt ad. A visszavonási lista letöltése sikertelen, és ezért az aláírás ellenőrzése befejezetlen eredményt ad.

17 17 Aláírási Szabályzat Amennyiben az aláírás létrehozás érvénytelen, akkor az aláírandó adat nem kerül a rendszerből továbbításra, s erről az aláíró figyelmeztetést kap Visszavonás és felfüggesztés különleges szabályai Az aláíró feleknek (a WizzAir Hungary Kft. nevében aláíró személyeknek) tanúsítványuk visszavonása, felfüggesztése esetén, a Matáv Tanúsítvány Szabályzatában leírtakat követve, értesíteniük kell a Matáv Rt. ügyfélszolgálatát és a WizzAir Hungary Kft. elektronikus számlakibocsátó rendszerét üzemeltető szervezeti egységet. Amennyiben a visszavonás, illetve a felfüggesztés olyan okból következett be, melynek következtében az aláíró fél aláírásával való visszaélés nem zárható ki, az aláíró félnek mindent el kell követni az esetleges visszaélések kizárására.

18 18 Aláírási Szabályzat 5. Az aláírás ellenőrzése 5.1. Előkészületek az aláírás ellenőrzésére Az ellenőrző fél (elektronikus számla fogadója) számítógépén is több előkészület szükséges az elektronikus számlák aláírásának ellenőrizhetősége érdekében A Verify telepítése Az elektronikus számlák ellenőrzését végző számítógépre telepíteni kell a MultiSigno Verify programját. A programot a vagy a címről lehet letölteni A szolgáltatói és gyökér tanúsítványok telepítése Az aláírások ellenőrzéséhez szükséges szolgáltatói és gyökér tanúsítványokat megbízható tanúsítványként az ellenőrzést végző Verifyt futtató gép Windows operációs rendszerének tanúsítványtárában kell eltárolni, ahhoz, hogy az aláírás ellenőrzésekor ne kelljen minden alkalommal manuálisan ellenőrizni őket. E tanúsítványok biztonságos kiválasztása és tárolása a rendszer biztonsága szempontjából kritikus fontosságú. A tanúsítványtárnak tartalmaznia kell mindazon szolgáltatói és gyökér tanúsítványokat, melyek a rendszer működéséhez szükségesek, s melyek egyértelműen azonosíthatóak a és pontokban leírtak alapján. Ezek a tanúsítványok a Matáv honlapjáról és tanúsítványtárából tölthetők le (PKCS#7 és CRT formátumban) a következő web címről: a "Tanúsítványtár és nyilvántartások" menüpont alatt. Az ellenőrzést végző számítógép tanúsítványtára tartalmazhat más, az ellenőrző fél számára egyéb okból szükséges tanúsítványokat is. A tanúsítványtár karbantartásáért az ellenőrző fél a felelős. Az ellenőrző félnek a Verify programot futtató gépén az operációs rendszer, valamint a gép logikai és fizikai védelmén keresztül gondoskodnia kell a tanúsítványtár biztonságáról. E védelemnek garantálnia kell, hogy illetéktelen módon a tanúsítványtárból törölni, és oda felvenni tanúsítványt ne lehessen.

19 19 Aláírási Szabályzat 5.2. Az aláírás-ellenőrzési folyamat Aláírás érvényesítési adatok Az aláírások ellenőrzéséhez szükséges alábbi érvényesítési adatok az aláírás részeként jut el az ellenőrző félhez: végfelhasználói tanúsítvány, időbélyegző, visszavonási lista. Az aláírások ellenőrzéséhez szükséges alábbi érvényesítési adatok a szolgáltatói és gyökér tanúsítványok korábbi telepítése (lásd pont) következtében áll az ellenőrző fél rendelkezésére: a végfelhasználói tanúsítványt és a visszavonási listát aláíró kulcshoz tartozó szolgáltatói tanúsítvány (lásd pont), a fenti szolgáltatói tanúsítványt aláíró kulcshoz tartozó 1. gyökér tanúsítvány (lásd pont), az időbélyeget aláíró kulcshoz tartozó szolgáltatói tanúsítvány (lásd pont), a fenti szolgáltatói tanúsítványt aláíró kulcshoz tartozó 2. gyökér tanúsítvány (lásd pont) Az aláírás érvényessége Az ellenőrző felek által végzett aláírás ellenőrzés akkor ad érvényes eredményt, ha együttesen teljesülnek az alábbi feltételek: A végfelhasználói tanúsítvány, az időbélyegző és a visszavonási lista kinyerhető az aláírt adathalmazból (A továbbiakban az ellenőrzéshez ezeket kell felhasználni). A végfelhasználói tanúsítványban megtalált nyilvános kulccsal és algoritmusokkal elvégzett aláírás ellenőrzés "érvényes" eredményt ad. A végfelhasználói tanúsítvány tanúsítási láncában a megfelelő szolgáltatói és gyökér tanúsítvány beszerezhető a helyi tanúsítványtárból. (A továbbiakban az ellenőrzéshez ezeket kell felhasználni). A végfelhasználói, a szolgáltatói és a gyökér tanúsítványokon lévő aláírások ellenőrzése "érvényes" eredményt ad. A végfelhasználói tanúsítványra vonatkozó visszavonási lista kibocsátási időpontja későbbi, mint az aláírás időpontja (vagyis mint az időbélyegzőben szereplő időpont). A visszavonási lista ellenőrzéséhez szükséges szolgáltatói és gyökér tanúsítvány beszerezhető a helyi tanúsítványtárból. (A továbbiakban az ellenőrzéshez ezeket kell felhasználni). A visszavonási lista ellenőrzéséhez szükséges szolgáltatói és a gyökér tanúsítványon lévő aláírások ellenőrzése "érvényes" eredményt ad. A visszavonási lista nem tartalmazza sem felfüggesztett, sem visszavont státuszban az ellenőrzött végfelhasználói tanúsítványt. Az időbélyeg ellenőrzéséhez szükséges szolgáltatói és gyökér tanúsítvány beszerezhető a helyi tanúsítványtárból. (A továbbiakban az ellenőrzéshez ezeket kell felhasználni). Az időbélyeg ellenőrzéséhez szükséges szolgáltatói és gyökér tanúsítványon lévő aláírások ellenőrzése "érvényes" eredményt ad.

20 20 Aláírási Szabályzat Az időbélyegzőben található lenyomat érték megegyezik az aláírásban szereplő lenyomattal. A fenti ellenőrzési folyamat során valamennyi tanúsítvány ellenőrzésekor az alkalmazásnak a tanúsítvány következő adatait kell ellenőriznie: Érvényesség (A tanúsítvány érvényességi dátumai között van-e az aláírás időpontja?) Alany (Megfelel-e az aláírási szabályzatban megadottnak?) Az alkalmazásnak nem kell vizsgálnia és figyelembe vennie a tanúsítványban esetlegesen megjelenő pénzügyi limitet. A tanúsítványok ellenőrzésekor és értelmezésekor a Matáv Hitelesítési és Tanúsítvány Szabályzataiban leírtak szerint kell eljárni.

21 21 Aláírási Szabályzat 6. Meghatározások Az aláírási szabályzatban az alábbi fogalmak az alábbi értelemben szerepelnek: Aláírandó adat Az aláírói dokumentum, az aláírás jellemzők és opcionálisan egyéb aláírásra kerülő információk együtt. Aláírás-ellenőrzési folyamat Olyan folyamat, amely érvényesít egy elektronikus aláírást az aláírási (esetleg hitelesítési vagy szolgáltatási) szabályzat követelményeinek megfelelően. Aláírás jellemzők Az aláírás olyan kiegészítő adatai, amelyek az aláírási szabályzatnak megfelelően az aláírói dokumentummal együtt aláírásra kerülnek. Aláírás-kezelő alkalmazás Olyan alkalmazás, amely aláírás megtételét és/vagy ellenőrzését támogatja. Aláírás-létrehozó adat Magánkulcs, ami elektronikus aláírás létrehozására alkalmas Aláíró algoritmus Nyilvános kulcsú kriptográfiai eljárás, ami a lenyomat kódolását végzi a magánkulcs segítségével. Aláíró eszköz Olyan hardver eszköz, mely elektronikus aláírás megtételét végzi az eszközön tárolt aláírás-létrehozó adat segítségével. Tipikusan egy intelligens kártya. Aláíró fél Olyan természetes személy vagy alkalmazás, mely aláír egy tranzakciót, illetve dokumentumot. Aláírói dokumentum Az a bármilyen tartalmú dokumentum, melyet az aláíró fél el kíván látni az aláírásával. Aláírt adathalmaz Elektronikus aláírás és a formattált aláírandó adat mezői és egyéb aláírással nem ellátott információk együtt. Applet A felhasználó gépére letöltődő alkalmazás, melyet a böngésző futtat. Bizalmi pont A bizalmi pont a tanúsítási lánc legfelső eleme. Gyakorlatilag egy gyökér tanúsítványból és egyéb kiegészítő adatok összességéből áll. Az iránta való bizalom az általa hitelesített összes (szolgáltatói és végfelhasználói) tanúsítvány tekintetében is bizalmat jelent. Digitális aláírás A lenyomat aláíró algoritmussal kódolt értéke. Ellenőrző fél Olyan természetes személy vagy alkalmazás, mely egy tranzakción, illetve dokumentumon aláírást ellenőriz.

22 22 Aláírási Szabályzat Érvényesítési adatok Olyan az aláírást kiegészítő adatok, amelyek annak eldöntéséhez szükségesek, hogy egy elektronikus aláírás megfelel-e az aláírási szabályzat követelményeinek. Tartalmazhat tanúsítványokat, visszavonási állapotinformációkat (az aláíróra és a hitelesítésszolgáltatóra vonatkozóan), továbbá időbélyegzés-szolgáltatóktól származó időbélyegzőket, és időjelzéseket. Az érvényesítési adatnak igazolnia kell azt, hogy az aláírás létrehozásakor az ott felhasznált teljes tanúsítási lánc érvényes volt. Formattált aláírandó adat Az aláírandó adat az aláírási szabályzat szerint formattálva. Gyökér hitelesítő egység A hitelesítés-szolgáltató azon (hardver-szoftver) egysége, mely a szolgáltató saját tanúsítványainak és az azokra vonatkozó visszavonási listáknak a kibocsátását végzi. Gyökér tanúsítvány Olyan tanúsítvány, amit már nem hitelesít újabb tanúsítvány. A benne szereplő nyilvános kulccsal ellenőrizhető, ami miatt önhitelesített tanúsítványnak is nevezik. Hitelesítés-szolgáltató Olyan szervezet, mely elektronikus tanúsítványokat bocsát ki, és a tanúsítványok menedzsmentjét támogatja (a jelen aláíró rendszer esetében a Matáv Rt.). Időbélyegzés szolgáltatás: Az elektronikus aláírással kapcsolatos olyan szolgáltatás, melynek során a szolgáltató az elektronikusan aláírt elektronikus dokumentumhoz időbélyegzőt kapcsol. Időbélyegző: Elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett. Kezdeti ellenőrzés Az aláírás létrehozását követően végrehajtandó eljárás az aláírás megerősítése érdekében, az utólagos ellenőrzések támogatásához szükséges kiegészítő információk begyűjtésével. Kivárási idő Egy elektronikus aláírás akkor tekinthető érvényesnek, ha az ellenőrző fél meggyőződik arról, hogy valóban az aláíró volt a birtokában a magánkulcsnak az aláírás pillanatában. A kulcs kompromittálódása, elvesztése és az erről szóló jelentés között azonban óhatatlanul eltelik valamennyi idő. Ezért egy úgynevezett

23 23 Aláírási Szabályzat kivárási idő -t ki kell várni (melynek értékét az aláírási szabályzat határozza meg), s csak ennek letelte után lehet az aláírás kezdeti ellenőrzését sikeresen végrehajtani. Lenyomat Az aláírói dokumentumra egyértelműen jellemző, abból egy hash algoritmussal képzett rövid adat. Magánkulcs Az aláírás megtételéhez szükséges kulcs, ami gyakorlatilag egy egyedi adatállomány. Lásd aláírás-létrehozó adat. MultiSigno Developer Ezen - DLL formájában implementált - alkalmazás-fejlesztő készletben (API), kerültek az aláíró és aláírás ellenőrző alapeljárások megvalósításra. A MultiSingo Developer a Kopint-Datorg Rt. terméke. Szolgáltatói kibocsátó hitelesítő egység A hitelesítés-szolgáltató azon (hardver-szoftver) egysége, mely a tanúsítvány és visszavonási lista kibocsátását végzi. Szolgáltatói tanúsítvány A végfelhasználói tanúsítvány aláírásának ellenőrzéséhez szükséges nyilvános kulcsot és annak használatához szükséges adatokat tartalmazó adatállomány, a kibocsátó gyökér hitelesítő egység által aláírva. Tanúsítási lánc Egymást hitelesítő tanúsítványok hierarchiája (láncolata). A hierarchia alján az aláíró tanúsítványa szerepel, felette az e tanúsítványt aláíró hitelesítő egység saját tanúsítványa, felette az e hitelesítő egységet hitelesítő másik hitelesítő egység saját tanúsítványa. A sorozat egészen a gyökér hitelesítő egységig ismétlődhet, amely a lánc legteteje. Tranzakció Üzleti művelet, mely az informatikai rendszerben üzenetként jelentkezik (az ISZR rendszer esetében érvényes típusait lásd a 3. fejezetben). Utólagos ellenőrzés Egy aláírás kezdeti alkalmazását követően végrehajtandó, az aláírás érvényességének kiértékelésére irányuló eljárás, mely a kezdeti ellenőrzés során begyűjtött adatokon alapul. Végfelhasználói tanúsítvány Az aláírás ellenőrzéséhez szükséges nyilvános kulcsot és annak használatához szükséges adatokat tartalmazó adatállomány, a kibocsátó hitelesítés-szolgáltató által aláírva.

24 24 Aláírási Szabályzat Visszavonási lista Valamilyen okból felfüggesztett vagy visszavont végfelhasználói tanúsítványok azonosítóit tartalmazó elektronikus lista, melyet a hitelesítés-szolgáltató aláír, kibocsát és rendszeresen frissít.