Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HSZSZ-1 jelű hitelesítés szolgáltatási szabályzata v 4.0 Hatálybalépés dátuma: 2007. május 30. Időpont Jóváhagyta Aláírás 2007. 04. 30. Kerekes Gábor ügyvezető Időpont Készítette Aláírás 2007. 04. 30. Dr. Polyák Edit Tóth Elemér 1/63
Változáskövetés Időpont Referencia Tartalom 2006. 06.08. Dr. Polyák Edit 1. érvényes verzió Tóth Elemér 2006. 09.21. Dr. Polyák Edit Tóth Elemér 2007. 04.09. Dr. Polyák Edit Tóth Elemér 2007. 04. 30. Dr. Polyák Edit Tóth Elemér A zárt szolgáltatásra vonatkozó szabályok megerősítése A kulcscserére és a kiadott tanúsítvány módosításra vonatkozó szabályok módosítása. Valamint 1.3 pontban a szereplők meghatározásának, az 1.6 pontban a meghatározások pontosítása. 6.2.10 HSM nyilvántartásba vételének törlése.a zárt kör felsőoktatási intézményekre történő kiterjesztésével összefüggő módosítások; módosítások a regisztrációs eljárásokban, a szerepkörökben, valamint a hivatkozásokban 1.6 pontban szereplő meghatározások pontosítása, aláíróra és előfizetőre vonatkozó rendelkezések pontosítása; CRL / delta-crl és a kulcsok védelmére vonatkozó információk pontosítása 2/63
Tartalom 1. Bevezetés...11 1.1 Áttekintés...11 1.1.1 A Szabályzat...11 1.1.2 A Szabályzat hatálya...12 1.1.3 A szolgáltató...12 1.1.4 Szolgáltatások...13 1.1.5 Szabványok és előírások...14 1.1.6 Tanúsítványfajták...14 1.1.7 Aláíró eszköz szolgáltatás...14 1.2 A dokumentum neve és azonosítója...17 1.3 PKI szereplők...17 1.3.1 Hitelesítés-szolgáltatók...17 1.3.2 Regisztráló szervezetek...17 1.3.3 Előfizetők és Alanyok...18 1.3.4 Érintett felek...18 1.4 Tanúsítvány használat...19 1.5 Kapcsolattartás...19 1.5.1 A Szolgáltató adatai...19 1.5.2 Ügyfélszolgálat...19 1.5.3 A Szolgáltatási szabályzat jelen Hitelesítési rendnek való megfelelőségéért felelős személy/szervezet...20 1.5.4 A Szolgáltatási szabályzat elfogadási eljárása...20 1.6 Meghatározások...20 1.7 Rövidítések és jelölések...22 1.8 Hivatkozások...23 2. Közzétételre és tárolásra vonatkozó felelősségek...24 3/63
2.1 Adatok, adatbázisok...24 2.2 A tanúsítványokra vonatkozó információk közzététele...24 2.3 A közzététel gyakorisága...24 3. Azonosítás és hitelesítés...26 3.1 Megnevezési konvenciók...26 3.1.1 Név típusok...26 3.1.2 Álnevek használata...27 3.1.3 A különböző elnevezési formák értelmezési szabályai...27 3.1.4 A nevek egyedisége...27 3.1.5 Márkanevek elismerése, azonosításuk és szerepük...27 3.2 Kezdeti regisztrálás /személyazonosság megállapítása...27 3.2.1 A magánkulcs birtoklásának igazolása...27 3.2.2 Szervezet azonosságának hitelesítése...28 3.2.3 Személy azonosságának hitelesítése...28 3.2.4 Eszköz regisztrációja...29 3.3 Azonosítás és hitelesítés kulcs megújítás kérelem esetén...29 3.4 Azonosítás és hitelesítés tanúsítvány visszavonási kérelem esetén...29 4. A tanúsítvány életciklusra vonatkozó követelmények...29 4.1 Tanúsítványkérelem...29 4.1.1 Ki nyújthat be tanúsítványkérelmet...29 4.1.2 A tanúsítvány igénylés folyamata és a résztvevők felelőssége...30 4.2 A tanúsítványkérelem feldolgozása...31 4.2.1 Az azonosítási és hitelesítési funkciók megvalósítása...31 4.2.2 A tanúsítványkérelem jóváhagyása vagy visszautasítása...32 4.3 Tanúsítvány kibocsátás...32 4.3.1 A hitelesítés-szolgáltató tevékenysége a tanúsítvány kibocsátás során...32 4.3.2 Az előfizető és az aláíró értesítése a tanúsítvány kibocsátásról...33 4/63
4.3.3 A tanúsítvány kibocsátásának időpontja...33 4.3.4 A tanúsítvány érvényessége...33 4.4 Tanúsítvány elfogadás...33 4.4.1 A tanúsítvány elfogadás esetei...33 4.4.2 A tanúsítvány közzététele a hitelesítés-szolgáltató által...33 4.5 Kulcspár- és tanúsítvány használat...33 4.5.1 Az alany magánkulcs- és tanúsítvány használata...33 4.5.2 Az érintett felek nyilvános kulcs- és tanúsítvány használata...34 4.6 Tanúsítvány megújítás...34 4.6.1 A tanúsítvány megújítás körülményei...34 4.6.2 Ki kérelmezheti a megújítást...35 4.6.3 A tanúsítvány megújítási kérelmek feldolgozása...35 4.6.4 Az aláíró értesítése az új tanúsítvány kibocsátásáról...35 4.6.5 A megújított tanúsítvány elfogadása...35 4.7 Kulcscsere...36 4.8 Tanúsítvány módosítás...36 4.9 Tanúsítvány visszavonás és felfüggesztés...36 4.9.1 A visszavonás körülményei...36 4.9.2 Ki kérelmezheti a visszavonást...37 4.9.3 Visszavonási kérelemre vonatkozó eljárás...37 4.9.4 A visszavonási kérelemre vonatkozó kivárási idő...37 4.9.5 A visszavonási eljárás maximális hossza...38 4.9.6 Az érintett felek kötelezettsége a visszavonási információ ellenőrzésére...38 4.9.7 A visszavonási lista kibocsátás gyakorisága...38 4.9.8 A visszavonási lista előállítása és közzététele közötti idő maximális hossza...38 4.9.9 Valósidejű tanúsítvány állapot ellenőrzés elérhetősége...38 4.9.10 A valósidejű tanúsítvány állapot ellenőrzésre vonatkozó követelmények...38 5/63
4.9.11 A visszavonási hirdetmények egyéb elérhető formái...39 4.9.12 A kulcs kompromittálódásra vonatkozó speciális követelmények...39 4.9.13 A felfüggesztés körülményei...39 4.9.14 Ki kérelmezheti a felfüggesztést...39 4.9.15 A felfüggesztési kérelemre vonatkozó eljárás...39 4.9.16 A felfüggesztés maximális hossza...39 4.9.17 A felfüggesztésből visszaállítás körülményei...40 4.9.18 Mikor szabad a felfüggesztésből visszaállítani a tanúsítványt?...40 4.9.19 Ki kérelmezheti a felfüggesztésből visszaállítást?...40 4.9.20 A felfüggesztésből visszaállítási kérelemre vonatkozó eljárás...40 4.10 Tanúsítvány állapot szolgáltatások...40 4.10.1 Működési jellemzők...41 4.10.2 A szolgáltatás rendelkezésre állása...41 4.10.3 Nem kötelező tulajdonságok...41 4.11 A tanúsítvány előfizetés vége...41 4.12 Kulcs letétbe helyezése és visszaállítása...41 5. Elhelyezési, irányítási és működtetési előírások...42 5.1 Fizikai előírások...43 5.1.1 A telephely elhelyezése és szerkezeti felépítése...43 5.1.2 Fizikai hozzáférés...44 5.1.3 Áramellátás és légkondicionálás...44 5.1.4 Beázás és elárasztódás veszély kezelése...44 5.1.5 Tűzmegelőzés és tűzvédelem...44 5.1.6 Adathordozók tárolása...44 5.1.7 Hulladék megsemmisítése...45 5.1.8 A mentési példányok fizikai elkülönítése...45 5.2 Eljárásbeli előírások...45 6/63
5.2.1 Bizalmi munkakörök...45 5.2.2 Az egyes feladatokhoz szükséges személyzeti létszámok...46 5.2.3 Az egyes munkakörökben elvárt azonosítás és hitelesítés...46 5.2.4 Egymást kizáró munkakörök...47 5.3 Személyzetre vonatkozó előírások...47 5.3.1 Képzettségre, gyakorlatra és biztonsági ellenőrzésre vonatkozó követelmények...47 5.3.2 Előélet vizsgálatára vonatkozó eljárások...47 5.3.3 Kiképzési követelmények...47 5.3.4 Továbbképzési gyakoriságok és követelmények...48 5.3.5 Munkabeosztás körforgásának gyakorisága és sorrendje...48 5.3.6 Felhatalmazás nélküli tevékenységek büntető következményei...48 5.3.7 Szerződéses viszonyban foglalkoztatottakra vonatkozó követelmények...48 5.3.8 A személyzet számára biztosított dokumentációk...48 5.4 Naplózási eljárások...48 5.4.1 A tárolt események típusai...48 5.4.2 A napló fájl feldolgozásának gyakorisága...49 5.4.3 A naplófájl megőrzési időtartama...50 5.4.4 A naplófájl védelme...50 5.4.5 A naplófájl archiválási eljárásai...50 5.5 Adatok archiválása...50 5.5.1 Az archivált adatok típusai...50 5.5.2 Az archívum megőrzési időtartama...51 5.5.3 Az archívum védelme...51 5.5.4 Az archívum mentési folyamatai...51 5.5.5 Az adatok időbélyegzésére vonatkozó követelmények...51 5.5.6 Az archívum gyűjtési rendszere (belső vagy külső)...51 5.5.7 Archív információk hozzáférését és ellenőrzését végző eljárások...51 7/63
5.6 Kulcscsere...52 5.7 Kompromittálódást és katasztrófát követő helyreállítás...52 5.7.1 Váratlan esemény és kompromittálódás kezelési eljárások...52 5.7.2 Meghibásodott számítási erőforrások, szoftverek és/vagy adatok...52 5.7.3 Magánkulcs kompromittálódása esetén követendő eljárások...52 5.7.4 Működés folyamatosságának biztosítása katasztrófát követően...52 5.8 Hitelesítés szolgáltató vagy regisztrációs szervezet leállítása...53 6. Műszaki biztonsági intézkedések...53 6.1 Kulcspár előállítása és telepítése...53 6.1.1 Kulcspár előállítás...54 6.1.2 Magánkulcs eljuttatása az előfizetőhöz, aláíróhoz...54 6.1.3 A nyilvános kulcs eljuttatása a tanúsítvány kibocsátóhoz...55 6.1.4 A hitelesítés szolgáltató nyilvános kulcsának közzététele az érintett felek számára..55 6.1.5 Kulcsméretek...55 6.1.6 Nyilvános kulcs paraméterek előállítása, a paraméterek ellenőrzése...55 6.1.7 A kulcs használat célja (az X.509 v3 kulcshasználati mező tartalmának megfelelően)...55 6.2 A szolgáltatói magánkulcsok védelme és a kriptográfiai modulokkal kapcsolatos műszaki előírások...55 6.2.1 Magánkulcs többszereplős ("n-ből m") használata...56 6.2.2 Magánkulcs letétbe helyezése...56 6.2.3 Magánkulcs mentése...56 6.2.4 Magánkulcs archiválása...56 6.2.5 Magánkulcs bejuttatása kriptográfiai modulba, vagy onnan történő exportja...56 6.2.6 Magánkulcs tárolása kriptográfiai modulban...56 6.2.7 A magánkulcs aktiválásának módja...57 6.2.8 A magánkulcs deaktiválásának módja...57 6.2.9 A magánkulcs megsemmisítésének módja...57 8/63
6.2.10 A kriptográfiai modulok értékelése...57 6.3 A kulcspár kezelésének egyéb szempontjai...57 6.3.1 Nyilvános kulcs archiválása...57 6.3.2 A tanúsítványok és kulcspárok használatának periódusa...57 6.4 Aktivizáló adatok...58 6.4.1 Aktivizáló adatok előállítása és telepítése...58 6.4.2 Az aktivizáló adatok védelme...58 6.4.3 Az aktivizáló adatok egyéb szempontjai...58 6.5 Informatikai biztonsági előírások...58 6.5.1 Speciális informatikai biztonsági műszaki követelmények...58 6.5.2 Az informatikai biztonság értékelése...58 6.6 Életciklusra vonatkozó műszaki előírások...59 6.6.1 Rendszerfejlesztési előírások...59 6.6.2 Biztonságkezelési előírások...59 6.7 Hálózatbiztonsági előírások...59 6.8 Időbélyegzés...59 7. Tanúsítvány-, és tanúsítvány visszavonási lista...59 7.1 Tanúsítványprofilok...59 7.2 Tanúsítvány visszavonási lista profil...59 8. Megfelelőségi audit és egyéb ellenőrzések...59 9. Egyéb üzleti és jogi kérdések...59 9.1 Díjak...59 9.2 Anyagi felelősségvállalás...60 9.3 Az üzleti információk bizalmassága...60 9.4 A személyes adatok védelme...60 9.5 Szellemi tulajdonjogok...60 9.6 Tevékenységért viselt felelősség és helytállás...60 9/63
9.6.1 A hitelesítés-szolgáltató felelőssége és helytállása...60 9.6.2 A regisztrációs szervezet felelőssége és helytállása...60 9.6.3 Az aláíró / előfizető felelőssége és helytállása...61 9.6.4 Az érintett fél felelőssége...61 9.7 Helytállás érvénytelenségi köre...61 9.8 Felelősségi korlátozások...61 9.9 Kártérítési kötelezettségek...61 9.10 Érvényesség...62 9.11 A felek közötti kommunikációra vonatkozó előírások...62 9.12 Kiegészítések...62 9.13 Vitás kérdések megoldása...62 9.14 Irányadó jog...62 9.15 Az érvényben lévő jogszabályoknak való megfelelőség...62 10/63
1. Bevezetés Az elektronikus aláírásról szóló 2001. évi XXXV. törvény (Eat.) 1. (2) bekezdése értelmében egymással szerződéses viszonyban álló felek az elektronikusan aláírt elektronikus dokumentumok szervezetek (személyek) korlátozott és zárt körében való elfogadásának feltételeit az Eat. 3. (2) bekezdése szerinti korlátok között - a törvény szabályaitól eltérően is megállapíthatják. Jelen Hitelesítés Szolgáltatási Szabályzat alapján nyújtott hitelesítés szolgáltatás nem minősül nyilvános szolgáltatásnak. A fenti rendelkezés alapján a jelen hitelesítés szolgáltatási szabályzat (továbbiakban: HSZSZ) egyrészről az Oktatási és Kulturális Minisztérium, a közoktatásról szóló 1993. évi LXXIX. tv-ben (Közoktatási törvény) meghatározott általános iskolák és középfokú oktatási intézmények vezetői, továbbá a képviselettel meghatalmazott helyettesítő személyek, másrészről az Educatio Társadalmi Szolgáltató Közhasznú Társaság (Educatio Kht. vagy Szolgáltató) közötti szerződéses viszony szerint zárt körben érvényes. A HSZSZ érvényes továbbá egyrészről a felsőoktatásról szóló 2005. évi CXXXIX. tv-ben (felsőoktatási törvény) meghatározott felsőoktatási intézmények vezetői, valamint ezen személyek képviselettel meghatalmazottjai, másrészről az Educatio Kht. közötti szerződéses viszony szerinti zárt körben. Az Educatio Kht. által kibocsátott tanúsítványok felhasználása kizárólag az Educatio Kht. és az Aláírók egymás közötti kapcsolattartása, kommunikációja, szerződéskötése, valamint ezen belül a közoktatásról szóló törvény végrehajtásáról szóló 20/1997 (II. 13.) Kormányrendeletben, továbbá a felsőoktatási törvényben és a felsőoktatási törvény egyes rendelkezéseinek végrehajtásáról szóló 79/2006 (IV.5.) Kormány rendeletben meghatározott, Educatio Kht. felé történő adatszolgáltatás teljesítése céljából lehetséges. A tanúsítványok felhasználása az Educatio Kht-tól eltérő harmadik személy irányában nem megengedett. 1.1 Áttekintés Ez a hitelesítés szolgáltatási szabályzat a nyilvánosan hozzáférhető, Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HR-1 jelű hitelesítési rendje című dokumentumban foglaltak alapján készült. 1.1.1 A Szabályzat A szolgáltatási szabályzat a szolgáltató tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó dokumentum. A szolgáltatási szabályzat célja, hogy összefogja azokat a szabályzatokat és információkat, melyeket a hitelesítés-szolgáltatóval valamilyen módon kapcsolatba kerülő feleknek érdemes tudni. Mint ilyen, a szolgáltató működésének átláthatóságát biztosítja, s lehetővé teszi a felhasználók számára, hogy megállapítsák a szolgáltató által kialakított rendszer és működtetési gyakorlata, illetve a kiadott tanúsítványfajtái (pl. személyes, eszköz) és tanúsítvány-profiljai (a tanúsítványok logikai adattartalma fajtánként) mennyiben felelnek meg az elvárásaiknak. A szolgáltatási szabályzat ellenőrzésével a tanúsítvány elfogadóinak egyértelműen meg kell tudni 11/63
állapítani a tanúsítvány kezelésének módját, az általa garantált biztonság mértékét és az erre vonatkozó technikai, üzleti és pénzügyi garanciákat, jogi felelősségvállalásokat. A tanúsítványok végfelhasználóinak tevékenységére vonatkozóan jelen szabályzattól független egyéb szolgáltatói szabályzatok is élhetnek előírásokkal. Amennyiben e szabályzatok bármely vonatkozásban ellentmondással vagy eltérő kikötéssel élnének, jelen szolgáltatási szabályzat előírásai tekintendők magasabb szintűnek, s ezek alkalmazandóak. Jelen dokumentum a Közoktatási törvényben meghatározott általános iskolák és középfokú oktatási intézmények vezetői, valamint a felsőoktatási törvényben meghatározott felsőoktatási intézmények vezetői, továbbá ezen személyek képviselettel meghatalmazottjai kriptográfiai hardver eszköz használatát megkövetelő hitelesítési szolgáltatási szabályzat. Jelen szolgáltatási szabályzat követi az európai szabványosítás keretében RFC 3647 [14]-ban definiált specifikációt. 1.1.2 A Szabályzat hatálya Csak a szolgáltató aláírásával ellátott szolgáltatási szabályzat változata tekinthető hitelesnek. Tárgyi hatály: Időbeli hatály: Személyi hatály: A tárgyi hatály az 1.1.4 fejezetben ismertetett szolgáltatások nyújtását és igénybevételét foglalja magában. Az időbeli hatály a változáskezelés táblázatban feltüntetett jelen szabályzati verzióra érvényes hatálybalépés dátumától kezdődően határozatlan időre szól (hatálya megszűnik a szolgáltatási tevékenység beszüntetésekor, illetve egy újabb szabályzat verzió hatályba lépésékor). A személyi hatály a PKI szereplők közösségének (lásd. 1.3 pont), minden egyes tagjára, jogi és természetes személyekre egyaránt kiterjed. 1. táblázat 1.1.3 A szolgáltató Jelen szabályzatban a szolgáltatónak nevezett entitás (továbbiakban: Szolgáltató vagy hitelesítés-szolgáltató) az Educatio Társadalmi Szolgáltató Közhasznú Társaság (Educatio Kht.) és a vele kapcsolatban álló regisztráló szervezetek együttesen. Szolgáltatót jogi értelemben Educatio Kht.. képviseli. További adatok az 1.5.1 pontban találhatók. Az Educatio Társadalmi Szolgáltató Közhasznú Társaságot a felsőoktatási felvételi rendszer fejlesztése és üzemeltetése, a felsőoktatási felvételi eljárás lebonyolítása és a felsőoktatási felvételihez kapcsolódó tájékoztatási feladatok ellátása céljából alapította az Oktatási Minisztérium (az Oktatási és Kulturális Minisztérium jogelődje) 2000-ben. 12/63
Az Oktatási Minisztérium döntésének eredményeképpen a Minisztériummal kötött közhasznú szerződés módosításai alapján a Társaság feladatai az Országos Felsőoktatási Felvételi Iroda (jelenlegi nevén Országos Felsőoktatási Információs Központ) (OFIK) működtetése mellett 2001- ben kibővültek a SuliNET Programiroda és a győri Közoktatási Információs Iroda (KII), 2002-ben a Hallgatói Információs Központ (HIK), majd 2003-tól a Diákigazolvány Ügyfélszolgálat (jelenlegi nevén Oktatási Kártyaközpont) működtetésével. A közoktatási intézménytörzset az Educatio Kht. keretein belül működő győri Közoktatási Információs Iroda kezeli. Ebben szerepelnek az intézményi egyedi azonosítók, illetve az elhelyezkedéssel, feladat-ellátással, telephelyekkel stb. kapcsolatos adatok. Az adatok megtekintése és a módosítások bejelentése Internetes felületen az Educatio Kht. portáljain keresztül is lehetséges. Az Oktatási Minisztérium (OM) a felsőoktatási felvételi rendszer kialakítása, üzemeltetése, és fejlesztése érdekében hozta létre az OFIK elődjét, az Országos Felsőoktatási Felvételi Irodát (OFI) 1985-ben. A felsőoktatási felvételi eljárás lebonyolítása és a felsőoktatási felvételi tájékoztatás jelentős - országosan egyedülálló - informatikai hátteret igényel. Az ügyintézés lelkét, az OFIK-ban kialakított központi adatbázisok és programok jelentik, ezekhez a felsőoktatási intézmények kliens-programokkal kapcsolódnak. Ez a rendszer teszi lehetővé a tömeges mennyiségű adat és információ tárolását, kezelését. A Diákigazolvány Ügyfélszolgálatot azzal a céllal hozták létre, hogy gondoskodjon a diákigazolvány-igénylések feldolgozásáról és a diákigazolványok előállításáról. Az igénylők tájékoztatása érdekében az Ügyfélszolgálat külön call-centert üzemeltet, ahol minden érdeklődő személyre szabottan is választ kaphat kérdéseire. A Szolgáltató hitelesítés szolgáltatási rendszerének regisztrációs feladatait részben a KII és az Oktatási Kártyaközpont, diákigazolvány ügyfélszolgálata részben szerződéses partner(ek) végzi(k) el. A Szolgáltató központi hitelesítés szolgáltatási (PKI CA/RA) rendszerét az OFIK működteti és menedzseli. A hitelesítés szolgáltatás ügyfélszolgálati teendőit az Oktatási Kártyaközpont diákigazolvány ügyfélszolgálata látja el. 1.1.4 Szolgáltatások A Szolgáltató a hitelesítés-szolgáltatás keretében az alábbi tevékenységeket végzi: - kezdeti regisztrálás és személyazonosság megállapítása - tanúsítványkérelem feldolgozása - tanúsítvány kibocsátás - tanúsítvány elfogadás - tanúsítvány megújítás és módosítás - tanúsítvány visszavonás és felfüggesztés - tanúsítvány állapot szolgáltatás - kulcscsere - tanúsítványarchiválási szolgáltatás - aláíró eszköz szolgáltatás 13/63
- egyedi név szolgáltatás - adattárolási szolgáltatás 1.1.5 Szabványok és előírások A Szabályzat az EU elvárásai, illetve a X.509 Nyilvános kulcsú infrastruktúra tanúsítvány politika és szolgáltatási szabályzat keretrendszer [14] specifikáció alapján készült. A Szabályzat a zártkörű felhasználásra vonatkozó elvárások szerint megfelel az elektronikus aláírásról szóló 2001. évi XXXV. törvény [1] (továbbiakban: Eat.) vonatkozó előírásainak és ajánlásainak. A Szabályzat a Szolgáltató HR-1 jelű hitelesítési rendjében [9] előírtaknak megfelel. 1.1.6 Tanúsítványfajták A Szolgáltató az alábbi tanúsítványfajtákat bocsátja ki: S. Megnevezés Tranzakciós limit Korlátozás 1.a Személyes (végfelhasználói) tanúsítvány közoktatási ügyfelek számára 1.b Személyes (végfelhasználói) tanúsítvány felsőoktatási ügyfelek számára 0 Ft Nem használható pénzügyi tranzakciókban! Csak zárt körben alkalmazható! 0 Ft Nem használható pénzügyi tranzakciókban! Csak zárt körben alkalmazható! 2. Eszköz tanúsítvány 0 Ft Nem használható pénzügyi tranzakciókban! 3. Szolgáltatói tanúsítvány 0 Ft A Szolgáltató saját maga számára kibocsátott tanúsítvány. 2. táblázat Szolgáltató az egyes tanúsítványok profiljait egy külön dokumentumban [8] rögzítette. Kérésre ezt a dokumentumot az érdeklődők megtekinthetik. 1.1.7 Aláíró eszköz szolgáltatás A Szolgáltató az ügyfelei és saját munkatársai számára aláírás-létrehozó eszközön (kriptográfiai hardver eszközön; ú.n. chipkártyán) aláírás-létrehozó adat elhelyezése szolgáltatást végez. Az alkalmazott chipkártya az Axalto Cyberflex 64K típusú terméke. Ez a chipkártya megfelelő 14/63
biztonsági garanciát nyújtó nemzetközi tanúsítvánnyal rendelkezik, a chipkártya által megvalósított kriptográfiai algoritmusok és paramétereik megfelelnek a nemzetközi elvárásoknak. Ezen szolgáltatás során a Szolgáltató: a) megszemélyesíti a chipkártyát, amely során vizuálisan megszemélyesíti a kártyát, elhelyezi a chipmodulon az elektronikus aláírás alkalmazást, beállítja a biztonságos működéshez szükséges kulcsokat, az aktivizáló adatot (PIN-t) és más adatokat, elkészíti a zárt PIN-borítékot b) az átadásra felkészített kártyát és PIN-borítékot az ügyfélhez történő átadásig biztonságosan tárolja és szállítja c) az aláírás létrehozó adat az ügyfél közreműködésével kerül a chipmodulba, amely során az ügyfél a PIN-boríték felhasználásával megadja a chipmodult védő PIN-kódot a Szolgáltató által rendelkezésére bocsátott szoftvernek, mire az utasítás ad a chipmodul számára, hogy az az aláírás létrehozó adatot megfelelően védett körülmények között hozza létre A PIN-kód megváltoztatása az ügyfél részéről a műveletet megelőzően is és azt követően az ügyfél által biztonságos körülmények között biztosított. A Szolgáltató gondoskodik arról, hogy a rendszerében és az átadás során ne kerüljenek tárolásra kulcsok és aktivizáló adatok, a munkafolyamatokban gondoskodik arról, hogy az abban dolgozó munkatársak se ismerhessék meg ezeket a kulcsokat és aktivizáló adatokat. A chipmodul biztosítja az aláírás létrehozó titkosságát és sértetlenségét. 1.1.7.1 Chipkártya paraméterek Paraméter megnevezése Érték Megjegyzés Kártya címke: Educatio.cm1.typecard A kártya technológiája Java card Több alkalmazásra is megfelel Initial PIN Nincs az alkalmazott technológia alapján nem szükséges User PIN és Unblock PIN igen, mindkettő PIN és PUK megadása GINA Nem Microsoft szolgáltatás Aláíró kulcsok száma 3 Aláíró kulcsok mérete közoktatási ügyfeleknél Aláíró kulcsok mérete felsőoktatási ügyfeleknél 1024 bit 2048 bit 15/63
Titkos terület mérete Nyilvános terület mérete 10 000 byte 20 000 byte Crypto API Igen Microsoft szolgáltatás PKCS#11 közoktatási ügyfeleknél PKCS#11 felsőoktatási ügyfeleknél Protected Mode Nem Igen Igen egyéb szolgáltatás egyéb szolgáltatás Generate Key on Card Igen A regisztráció során keletkezik a kulcs. PIN hossz legalább 6 PIN hossz legfeljebb 12 Ismételhető karakterek 2 PIN próbálkozások száma 3 hibás megadások száma PIN váltás Engedélyezett ügyfél lecseréli PIN history Nincs adható többször is ugyanaz a PIN Hibát követő feloldás engedélyezett Unblock PIN-nel PIN boríték tartalmazza Megadható PIN karakterek alfanumerikus és nem alfanumerikus is kisbetű, nagybetű, szám és jel Unblock PIN hossz lega. 8 PUK! Unblock PIN hossz legf. 12 PUK! Unblock PIN próbálkozások száma 10 PUK! Ezt követően a kártya hozzáférhetetlen lesz! Unblock PIN váltás Engedélyezett ügyfél lecserélheti Unblock PIN history 1 az előzőtől eltérőt fogad el! 3. táblázat 16/63
1.2 A dokumentum neve és azonosítója A jelen dokumentumban meghatározott Hitelesítési szolgáltatási szabályzat (továbbiakban: HSZSZ) neve és azonosítói az alábbiak: Megnevezés: Azonosító: OID: Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HSZSZ-1 jelű hitelesítés szolgáltatási szabályzata EDUCAHSZSZ-1 1.3.6.1.4.1.27537.2.2 A Szabályzat alapján a Szolgáltató a következő hitelesítési rendnek való megfelelést vállalja: Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HR-1 jelű hitelesítési rendje [9] 1.3 PKI szereplők A kibocsátott tanúsítványok és aláírás-létrehozó eszközök alkalmazó közössége a Szolgáltató, a vele szerződéses kapcsolatban álló regisztrációs egységek, a tanúsítványok végfelhasználói (a Szolgáltató szerződéses ügyfelei) és az érintett felek (szintén a Szolgáltató szerződéses ügyfelei). 1.3.1 Hitelesítés-szolgáltatók Szolgáltató saját szervezetén belül hitelesítő szervezetet működtet, melynek feladata a tanúsítványok központi létrehozása, kibocsátása és menedzsmentje, a regisztráló szervezetektől kapott kérelmeknek megfelelően. A Szolgáltató önhitelesített rendszert működtet, amely azt jelenti, hogy úgy nevezett gyökér hitelesítő egység nem tanúsítja az alkalmazott rendszert. Szolgáltató hitelesítő szervezete a szabályzatok menedzsmentjével kapcsolatos feladatokat is ellátja. 1.3.2 Regisztráló szervezetek Szolgáltató saját szervezetén belül, valamint partnerein keresztül regisztráló szervezeteket működtet, amelyek az alábbi feladatokat látják el: kezdeti regisztráció: amely az ügyfelek igénylésének az átvételéből és az átvett adatok ellenőrzéséből tevődik össze; ezen feladatokat 17/63
o o o a közoktatási intézményi igénylők esetében az Educatio Társadalmi Szolgáltató Közhasznú Társaság Közoktatási Információs Irodája (KII) látja el, az igénylők a KII http://www.kir.hu honlapján keresztül közlik igényeiket; a felsőoktatási intézmény igénylők esetében az Educatio Társadalmi Szolgáltató Közhasznú Társaság Országos Felsőoktatási Információs Központja (OFIK) látja el, az igénylők a http://www.felvi.hu/ honlapon jelentik be igényüket; további igényeket az Educatio Társadalmi Szolgáltató Közhasznú Társaság ügyvezetőjéhez eljuttatott levélben lehet megadni, ld. kapcsolati pont az 1.5.2 szerint a személyazonosítást, az aláíró eszköz, valamint az aktivizáló adat (PIN) átadását, az aláírás létrehozó adat és aláírás ellenőrző adat generálásának felügyeletét, a tanúsítvány lekérését a hitelesítő egységtől (CA) és a tanúsítvány elhelyezését az aláíró eszközön, valamint a biztonságos környezet helyi menedzselését egy külső regisztrációt végző munkatárs (XRO) látja el az ügyfélnél; a Szolgáltató telephelyén ezeket a feladatokat biztonságos körülmények között a regisztrációs munkatárs (RO) látja el a tanúsítvány kibocsátásával kapcsolatos egyéb feladatok elvégzését a Szolgáltató, tanúsítvány-adminisztrációs (cert admin) szerepkörben dolgozó munkatársai a kijelölt biztonsági felelős és PKI szakértő munkatársakkal együttműködve biztosítják, a további tanúsítványmenedzsment feladatok ellátása során a felhasználókkal történő kapcsolattartást a Szolgáltatóhoz tartozó Oktatási Kártyaközpont diákigazolvány ügyfélszolgálatának munkatársai (DÜ) látják el. A regisztrálók feladata az ügyfélszolgálati teendők ellátása, illetve felelősek a tanúsítványtár eléréséért és a tanúsítványállapotok ügyfél oldali beállításáért is. A regisztráló szervezet feladatát jelen szabályzat előírásainak megfelelően végzi. A regisztrációs feladatok egy részének elvégzésével a Szolgáltató az EURO ONE Számítástechnikai Zrt-t bízta meg. 1.3.3 Előfizetők és Alanyok Az előfizetők a jelen HSzSz 1.6 pontjában meghatározott személyek. Jelen Hitelesítés szolgáltatási szabályzatban az alanyok, azaz az aláírók a Közoktatási törvényben meghatározott általános iskolák és középfokú oktatási intézmények, valamint a felsőoktatási törvényben meghatározott felsőoktatási intézmények vezetői és ezen személyek képviselettel meghatalmazottjai. 1.3.4 Érintett felek Az érintett fél az a személy, vagy szervezet, illetve eszköz (entitás), aki/amely egy adott tanúsítványon alapuló nyilvános kulcsú technikára hagyatkozva jár el. Jelen Hitelesítés Szolgáltatási szabályzat vonatkozásában érintett fél minden olyan felhasználó, aki vagy amely a Hitelesítés szolgáltatóval ezen Hitelesítés szolgáltatási szabályzathoz kötötten szerződéses jogviszonyban áll. 18/63
1.4 Tanúsítvány használat A jelen Szolgáltatási szabályzat szerint a Szolgáltató HR-1 jelű hitelesítési rendje [9] által meghatározott tanúsítványhasználat engedélyezett, illetve ebben találhatók az esetleges korlátozások és tiltások is. 1.5 Kapcsolattartás 1.5.1 A Szolgáltató adatai A szervezet adatai Szervezet neve: EDUCATIO Társadalmi Szolgáltató Közhasznú Társaság Szervezet címe: 1134 Budapest, Váci út 37. Cégjegyzékszám: 01-14-000308 Telefonszám: +36(1)477-3276 Faxszám: +36(1)477-3136 Email cím: Honlap: pkica@edukht.hu http://www.educatio.hu/e-sign.html 4. táblázat 1.5.2 Ügyfélszolgálat A szolgáltatással kapcsolatos kérdésekkel, problémákkal a végfelhasználók az Oktatási Kártyaközpont diákigazolvány ügyfélszolgálatához fordulhatnak szóban vagy írásban. Szolgáltató webes információs rendszere és email fiókjai minden nap 0-24 óráig fogadják a bejelentéseket. Szolgáltató a bejelentésre legkésőbb a következő munkanapon reagál, válasz email cím vagy telefonszám birtokában küldi meg a válaszát. Amennyiben a válasz tartalmilag nem teljes, a komplett válasz várható elkészültének idejét a Szolgáltató megadja. Szolgáltató a jelzett telefonszámokon, munkanapokon 8 és 17 óra között érhető el. Az ügyfélszolgálat adatai Neve: Oktatási Kártyaközpont Diákigazolvány 19/63
Ügyfélszolgálat Telefonszám: +36(1)447-4041 Faxszám: +36(1) 688-8686 Email cím: Honlap: pkica@edukht.hu http://www.diakigazolvany.hu 5. táblázat 1.5.3 A Szolgáltatási szabályzat jelen Hitelesítési rendnek való megfelelőségéért felelős személy/szervezet a) A Szolgáltatási szabályzatot kibocsátó szolgáltató felelős a Szolgáltatási szabályzat jelen dokumentumban meghatározott Hitelesítési rendnek [9] való megfelelőségéért és az ebben foglaltak szerinti szolgáltatás nyújtásáért. 1.5.4 A Szolgáltatási szabályzat elfogadási eljárása a) A Szolgáltatási szabályzatot a Szolgáltató ügyvezetője hagyja jóvá. 1.6 Meghatározások Alany A hitelesítés-szolgáltató által kiadott tanúsítványban azonosított természetes személy, aki a tanúsítványban szereplő aláírás-ellenőrző adatnak (nyilvános kulcsnak) megfelelő aláíráslétrehozó adatot (kriptográfiai magánkulcsot) birtokolja, vagy szervezet, amely a szerver tanúsítványában szereplő aláírás-ellenőrző adatnak (nyilvános kulcsnak) megfelelő aláíráslétrehozó adatot (kriptográfiai magánkulcsot) birtokolja. Aláíró Bizalmi közösség Az a természetes személy, aki az aláíráslétrehozó eszközt birtokolja és a saját vagy más személy nevében elektronikus aláírásra jogosult. Azokat a PKI szereplőket, akik, illetve amelyek elfogadják és alkalmazzák a Hitelesítési rendben és Szolgáltatási szabályzatban rögzített meghatározásokat, leírásokat és feltételeket, valamint korlátozásokat egy 20/63
Bizalmi közösségbe tartozónak tekintjük. Elektronikus aláírás Elektronikus dokumentumhoz azonosítás céljából hozzárendelt vagy azzal logikailag összekapcsolt elektronikus adat. Előfizető A hitelesítés-szolgáltatónál egy vagy több aláíróhoz kapcsolódó szolgáltatási díj megfizetését vállaló természetes, vagy jogi személy, vagy jogi személyiség nélküli szervezet, aki közvetlenül vagy közvetve elfogadja a hitelesítés-szolgáltató kikötéseit és feltételeit, valamint a szolgáltatás díjának megfizetésére köteles. Entitás Érintett fél Hitelesítési rend Hitelesítés-szolgáltató (HSz) Időbélyegzés Személyek, szervezetek és eszközök (általában, de nem kizárólagosan: szerverek). Az érintett fél az az entitás, aki egy adott tanúsítványon alapuló nyilvános kulcsú technikára (elektronikus aláírásra, titkosításra vagy hitelesítésre) hagyatkozva jár el Olyan szabálygyűjtemény, mely egy tanúsítvány felhasználhatóságát határozza meg egy közös biztonsági követelményekkel rendelkező közösség és/vagy alkalmazások egy osztálya számára. A tanúsítványba foglalt nyilvános kulcs és a tulajdonos azonosító adatainak hiteles összekapcsolásáért felelős, a kommunikációban résztvevő felek mindegyike által hitelesnek tartott szervezet. Az a folyamat, melynek során az elektronikus dokumentumhoz olyan igazolás rendelődik, amely tartalmazza a bélyegzés hiteles időpontját, és amely a dokumentumhoz oly módon kapcsolódik, hogy minden -az igazolás kiadását követő - módosítás érzékelhető. Igénylő Az a személy, aki a tanúsítvány alanya képviseletében, számára tanúsítvány kiadását kérelmezi, és elfogadja a hitelesítés-szolgáltató kikötéseit és feltételeit. Magánkulcs Nyilvános kulcs A 2001. évi XXXV. törvény szerinti aláíráslétrehozó adat egyik elterjedt megnevezése. Kriptográfiai kulcs, privát kulcsnak is nevezik. jelen dokumentumban a magánkulcs jelenik meg. A 2001. évi XXXV. törvény szerinti aláírás-ellenőrző adat egyik elterjedt megnevezése. Kriptográfiai 21/63
kulcs, publikus kulcsnak is nevezik. Jelen dokumentumban a nyilvános kulcs jelenik meg. Nyilvános kulcsú infrastruktúra (PKI) A tanúsítványok és kulcsok kezelését biztosító jogszabályok, irányelvek, eljárások, szervezetek, hardver és szoftvereszközök összessége. Szolgáltatási szabályzat A hitelesítés-szolgáltató tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó szabályzat. Szolgáltatói kulcspár A szolgáltatói aláírás-létrehozó adat (kriptográfiai magánkulcs) és a szolgáltatói aláírás-ellenőrző adat (kriptográfiai nyilvános kulcs) Szolgáltatói magánkulcs Olyan aláírás-létrehozó adat (kriptográfiai magánkulcs), amelyet a hitelesítésszolgáltató saját szolgáltatása keretében így különösen a tanúsítvány kibocsátásához, a visszavonási nyilvántartások aláírásához, az időbélyegzéshez, a naplózáshoz, az archiváláshoz használ. Szolgáltatói nyilvános kulcs Olyan aláírás-ellenőrző adat (kriptográfiai nyilvános kulcs), amelyet a szolgáltatói magánkulcs használatával létrehozott elektronikus aláírás ellenőrzésére használnak. Tanúsítvány Hitelesítés-szolgáltató által kibocsátott digitális igazolás, amely a belefoglalt nyilvános kulcsot egy meghatározott entitáshoz kapcsolja Tanúsítvány visszavonási lista (CRL) Valamely okból visszavont, vagy felfüggesztett, azaz érvénytelenített tanúsítványok azonosítóit tartalmazó elektronikus lista, melyet a hitelesítés-szolgáltató bocsát ki, s aláírásával hitelesít. 1.7 Rövidítések és jelölések CRL tanúsítvány visszavonási lista Certificate Revocation List DN megkülönböztetett név Distinguished Name KHE kriptográfiai hardver eszköz EHR Egységesített Hitelesítési rend Normalized Certification Policy 22/63
EHR+ OCSP OID kriptográfiai hardver eszköz használatát megkövetelő Egységesített Hitelesítési rend valós idejű tanúsítvány állapot protokoll objektum azonosító (extended) Normalized Certification Policy On-line Certificate Status Protocol PKI publikus kulcsú infrastruktúra Public Key Infrastructure URI egységes forrás azonosító Object Identifier Uniform Resource Identifier URL egységes forrás meghatározó Uniform Resource Locator UTF egységes átalakítás formátum Unicode Transformation Format 1.8 Hivatkozások Jelen szabályzat az alábbi dokumentumok felhasználásával készült: [1] 2001. évi XXXV. törvény az elektronikus aláírásról. [2] FIPS PUB 140: "Kriptográfiai modulok biztonsági követelményei" [3] MSZ/ISO/IEC 15408 1999: Informatika - Biztonságtechnika - Az informatikai biztonságértékelés közös szempontjai (1-3 részek) [4] CEN CWA 14167-2: Védelmi profil hitelesítés-szolgáltató aláírási műveletét végző, mentési funkcióval rendelkező kriptográfiai moduljára [5] ETSI TS 102 042 Szabályozási követelmények a nyilvános kulcsú tanúsítványokat kibocsátó hitelesítés-szolgáltatók számára (Műszaki specifikáció) v1.2.1 (2005-05 [6] RFC 3280 a X.509 3-as verziójú tanúsítványok és 2-es verziójú CRL-ek [7] Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói tanúsítványok szerkezetének és adattartalmának műszaki specifikációjára [8] Az Educatio Kht. elektronikus aláíráshoz kapcsolódó hitelesítés szolgáltatásának CERTP-1 tanúsítvány-profilja [9] Az Educatio Társadalmi Szolgáltató Közhasznú Társaság zártkörű, fokozott biztonságú hitelesítés szolgáltatásának HR-1 jelű hitelesítési rendje [10] Az Educatio Társadalmi Szolgáltató Közhasznú Társaság ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK zártkörű elektronikus aláírás hitelesítés szolgáltatások igénybevételéhez 23/63
[11] Országos Felsőoktatási Információs Központ Informatikai szabályzata [12] Országos Felsőoktatási Információs Központ számítógépes rendszerének adatkezelési és adatvédelmi szabályzata [13] ETSI TS 102 280 X.509 V.3 a természetes személyek számára kiadandó tanúsítvány profilja [14] RFC 3647 Internet X.509 Nyilvános kulcsú infrastruktúra tanúsítvány politika és szolgáltatási szabályzat keretrendszer 2. Közzétételre és tárolásra vonatkozó felelősségek 2.1 Adatok, adatbázisok A Szolgáltató felügyeli a hitelesítő egységet, a kártyakibocsátást és a regisztrációt (beleértve az igénylést is) ezek adatait, valamint a tanúsítványokra vonatkozó adatokat biztonságosan menedzseli. Szolgáltató nyilvános szabályzataiban csak azon eljárásait hozza nyilvánosságra, melyek ismerete a szolgáltatás biztonságát nem veszélyezteti. 2.2 A tanúsítványokra vonatkozó információk közzététele A Szolgáltató a http://www.educatio.hu honlapján keresztül folyamatosan elérhetővé teszi a Hitelesítési rend [9], a jelen Szolgáltatási szabályzat, valamint az Általános szerződési feltételek [10] dokumentumokat. A Szolgáltató a http://crl.pkica1.educatio.hu/certenroll/educatio-ca1.crl fájlban adja meg a visszavonási listát. A Szolgáltatói hitelesítő egység (CA) tanúsítványának elérése a http://crl.pkica1.educatio.hu/certenroll/educatio-ca1.crt azonosító megadásával történhet. Mindazon ügyfelekre vonatkozóan, akik nyilatkozatban hozzájárultak ahhoz, hogy a tanúsítványaikat nyilvánosságra hozhatja a Szolgáltató, egy tanúsítvány kereső web-es alkalmazás felhasználásával a Szolgáltató lekérdezési lehetőséget biztosít az Interneten keresztül. Az alkalmazás címe: http://www.educatio.hu. 2.3 A közzététel gyakorisága Tanúsítványok, kikötések és feltételek nyilvánosságra hozatala: a) A hitelesítés-szolgáltató biztosítja saját szolgáltatói tanúsítványai, valamint az általa kibocsátott tanúsítványok használatára vonatkozó kikötések és feltételek folyamatos 24/63
elérhetőségét (a 4.10.2 pontban meghatározott rendelkezésre állás mellett). Visszavonási állapot információ nyilvánosságra hozatala: A Szolgáltató az alábbi funkciókat kizárólag munkaidőben látja el. b) A Szolgáltató a telefonon érkező visszavonási és felfüggesztési kérelem fogadásakor megállapítja a kérelem érvényességét és a kérelmező jogosultságát. c) A jogos felfüggesztési kérelem esetén elvégzi a felfüggesztési műveletet és utasítást ad a rendszernek, hogy ezen eseményhez kapcsolódóan módosított visszavonási állapotot tegyen közzé. A felfüggesztett tanúsítvány -- a PKI technológia alapján -- a visszavonási állapotot mutató adatsorozatban (CRL listában) visszavont tanúsítványként jelenik meg, amíg az ügyfél felfüggesztésre vonatkozó törlési (visszaállítási) igénye alapján szolgáltatói eljárás nem hajtódik végre. A Szolgáltató a nyilvántartásában 1 órán belül átvezeti az érvényes kérelem szerinti visszavonási állapot megváltozását és ezt az állapotot rendkívüli visszavonási lista ( CRL fájl ) kiadásával késedelem nélkül nyilvánossá teszi. d) A jogos visszavonási kérelem esetén a Szolgáltató tájékoztatja az ügyfelet, hogy a visszavonási művelet két szakaszból áll. Az első szakaszban a megjelölt tanúsítvány felfüggesztésre kerül, majd a Szolgáltató további jogosultság ellenőrzést végez. Ennek részeként az ügyfél által megadott telefonszámon a Szolgáltató regisztrációs munkatársa (RO) felhívja az ügyfelet, és megerősítés esetén engedélyezi a visszavonást. A felfüggesztési állapot törlésre kerül. e) A Szolgáltató a tanúsítvány visszavonási listákat rendszeresen ( CRL fájlokat ) legfeljebb 24 óránként közzé teszi. f) A Szolgáltató a visszavonási listák frissítését ( delta CRL fájlokat) 3 óránként adja ki. 2.4 Az adatbázisok elérésének szabályozása Tanúsítványok, kikötések és feltételek elérhetősége: a) A tanúsítványtár egy 2.2. pont szerint egy web-es alkalmazáson keresztül, a szolgáltatói tanúsítványok, valamint a tanúsítványok használatára vonatkozó kikötések és feltételek (Hitelesítési rend [9], a jelen Szolgáltatási szabályzat, Általános szerződési feltételek [10]) nyilvánosak és nemzetközileg elérhetők az Interneten. b) Külön kérésre a Hitelesítési rend [9], a jelen Szolgáltatási szabályzat, Általános szerződési feltételek [10] az ügyfélszolgálaton nyomtatásban is átvehetők. Ezért a szolgáltatásért a Szolgáltató eseti megállapodás alapján külön díjat számolhat fel. Visszavonási állapot információ elérhetősége: 25/63
A Szolgáltató a visszavonási állapot információt tanúsítvány visszavonási lista CRL és delta CRL formájában teszi közzé. A tanúsítvány visszavonási lista (beleértve ennek bármely változatát is), nyilvánosan és korlátozás nélkül (nemzetközileg is) elérhető. 3. Azonosítás és hitelesítés 3.1 Megnevezési konvenciók Az azonosítók a Szolgáltató szabályzatai alapján értelmezhetők. Az ékezetes magánhangzók használatánál a Szolgáltató magyar helyesírás szabályait alkalmazza. Ennek megfelelően a Szolgáltató a nevekben szereplő ékezetes betűket eredeti írásmódjuk szerint feltüntetve az UTF-8 kódolásban rögzíti 3.1.1 Név típusok a) A hitelesítés-szolgáltató által kiállított tanúsítványokra a következő névkonvenció érvényes: o X.500 formátum (ITU-T X.501 /ISO/IEC 9594-2:1997, RFC 3280), A Szolgáltató neve: A Szolgáltató a tanúsítványban az aláíró/tulajdonos, illetve tanúsítvány kiadói nevét (common name; cn) Educatio Társadalmi Szolgáltató Közhasznú Társaság megnevezéssel szerepelteti. A Szolgáltató technikai azonosító nevét (X.509 distinguish name; dn) a következők alkotják: a cn szerinti név (ld. előbb), a szervezeti megjelölés (organization; o): OFIK, és országnév jelzése (country; c): HU. Az ügyfél/aláíró neve: A Szolgáltató a tanúsítványban az aláíró nevét (common name; cn) az igénylésben megadott névvel betű szerint megegyezően rögzíti. A tanúsítvány vezetéknév (surname;sn) mezője nincs kitöltve. A tanúsítvány tulajdonos (subject) mezőjében az ügyfél egyedi technikai azonosító nevét (X.509 distinguish name; dn) a következők alkotják: 26/63
az aláíró elektronikus levél címe (email;e), a cn szerinti név, a pedagógus azonosítója (organization unit; ou), illetve a Szolgáltató által külön erre a célra képzett technikai szám és az educatio, valamint cadomain belső technikai azonosítók (dc). 3.1.2 Álnevek használata a) A hitelesítés-szolgáltató a tanúsítványok DN mezőjében szereplő személynevet álnévnek minősíti. 3.1.3 A különböző elnevezési formák értelmezési szabályai A nevek és azonosítók értelmezése során az ügyfeleknek és a Szolgáltatónak a jelen Szolgáltatási szabályzatban leírtak alapján kell eljárniuk. Amennyiben a nevek és azonosítók, illetve a tanúsítványban foglalt adatok értelmezésével kapcsolatban további információra van szükség, akkor ezt a Szolgáltató jelen Szolgáltatási szabályzat alapján megadja. 3.1.4 A nevek egyedisége A Szolgáltató gondoskodik arról, hogy az általa kiadott tanúsítványokban használt egyedi technikai azonosító neveket (X.509 distinguish name; dn) sohasem fogja egy másik entitáshoz rendelni. 3.1.5 Márkanevek elismerése, azonosításuk és szerepük Nem alkalmazható. 3.2 Kezdeti regisztrálás /személyazonosság megállapítása 3.2.1 A magánkulcs birtoklásának igazolása a) A tanúsítvány generálása előtt a Szolgáltató megbízható rendszere a jelen Szolgáltatási szabályzat 1.1.7 pontja szerint biztosítja, hogy az igénylő által képviselt alany ténylegesen birtokolja a tanúsítványba foglalandó nyilvános kulcsnak megfelelő magánkulcsot. 27/63
3.2.2 Szervezet azonosságának hitelesítése Hitelesítés szolgáltató nem vizsgálja egy aláíró jogi szervezethez, jogi személyiség nélküli szervezethez, gazdálkodó szervezethez kapcsolódó képviseleti jogát, illetve ebben az értelemben nem azonosít szervezetet. 3.2.3 Személy azonosságának hitelesítése 3.2.3.1 A közoktatási intézményvezető illetve a képviselettel meghatalmazott személy regisztrációja a) A Hitelesítés szolgáltató csak olyan igénylők regisztrációját vállalja, akik a Hitelesítés szolgáltató Közoktatási Információs Irodájának (KIR) rendszerébe az igénybejelentés során mester-jelszóval már bejegyzésre kerültek. b) A regisztrációt végző szervezet megbízott ügyintézője (RO, XRO) aláírásával igazolja, hogy az aláírót a személyes regisztráció során azonosította és az aláíró a szolgáltatási szerződést az ügyintéző jelenlétében aláírta. c) A regisztráció során bemutatott hatósági igazolvány azonosító adatait, a megadott adatok egyezését és a hatósági igazolvány érvényességét a regisztrációs szervezet közhiteles nyilvántartásban ellenőrzi a hitelesítés szolgáltatás nyilvánossá válásának előfeltételeként. Amennyiben az adott hatósági igazolvány vonatkozásában ez megvalósítható, a hatósági igazolványt folyamatosan elérhető elektronikus nyilvántartásban ellenőrzi. 3.2.3.2 A felsőoktatási intézményvezető illetve a képviselettel meghatalmazott személy regisztrációja A Hitelesítés szolgáltató csak olyan igénylők regisztrációját vállalja, akik a Hitelesítés szolgáltató Országos Felsőoktatási Információs Központjának (OFIK) rendszerében az igényüket bejelentették (bejelentkeztek), vagy a regisztrációt végző szervezet munkatársai előtt e célból személyesen megjelentek és az intézményvezetőjük szabályszerűen aláírt meghatalmazásával rendelkeznek. A regisztrációt végző szervezet regisztrációban részt vevő ügyintézője aláírásával igazolja, hogy az aláírót a személyes regisztráció során azonosította és az aláíró a szolgáltatási szerződést az ügyintéző jelenlétében aláírta. A regisztráció során bemutatott hatósági igazolvány azonosító adatait, a megadott adatok egyezését és a hatósági igazolvány érvényességét a regisztrációs szervezet közhiteles nyilvántartásban ellenőrizi a hitelesítés szolgáltatás nyilvánossá válásának előfeltételeként. Amennyiben az adott hatósági igazolvány vonatkozásában ez megvalósítható, a hatósági igazolványt folyamatosan elérhető elektronikus nyilvántartásban ellenőrizi. 3.2.3.3 Más személyek regisztrációja a) A Hitelesítés szolgáltató az Oktatási és Kulturális Minisztériumból és háttérintézményeiből 28/63
csak a Hitelesítés szolgáltató mindenkori ügyvezetője által szabadon meghatározott igénylők regisztrációját vállalja. b) A regisztrációhoz szükséges megadni az azonosításhoz szükséges adatokat is. c) A személy azonosságának hitelessége egyébként megegyezik a fenti 3.2.3.1. és 3.2.3.2 pontokban leírt regisztrációs eljárás b)-c) pontjaiban megadottakkal. 3.2.4 Eszköz regisztrációja Eszközhöz tartozó tanúsítványt a Hitelesítés-szolgáltató csak saját maga számára bocsát ki. 3.3 Azonosítás és hitelesítés kulcs megújítás kérelem esetén Tanúsítvány kulcscseréjét a Szolgáltató nem támogatja. Amennyiben kulcscsere válna szükségessé, abban az esetben új tanúsítvány-igénylést kell beadni a jelen szabályzatban meghatározottak szerint. (Ld. a 4. pontot) 3.4 Azonosítás és hitelesítés tanúsítvány visszavonási kérelem esetén A felhasználó a Szolgáltató Ügyfélszolgálatán keresztül tudja a tanúsítványt visszavonatni. Az Ügyfélszolgálat a visszavonó személy azonosságát a rendszerben tárolt titkos kérdés válasz párral állapítja meg. Az Ügyfélszolgálat csak azon esetekben kezdeményezi a visszavonást, illetve fogadja el a visszavonási kérelmet, ha a visszavonást kérő mind a kérdést, mind a választ helyesen adta meg. 4. A tanúsítvány életciklusra vonatkozó követelmények 4.1 Tanúsítványkérelem 4.1.1 Ki nyújthat be tanúsítványkérelmet a) Tanúsítványkérelmet a Közoktatási törvényben meghatározott általános iskolák illetve középfokú oktatási intézmények vezetői, a felsőoktatási törvényben meghatározott felsőoktatási intézmények vezetői, az Oktatási és Kulturális Minisztérium illetve háttérintézményeinek munkatársai, megbízottjai meghatalmazás birtokában és a Szolgáltató munkatársai meghatalmazás alapján nyújthatnak be a saját részükre, illetve a képviselettel meghatalmazott személyek részére. b) A Szolgáltató azt megelőzően, hogy az aláíróval (alannyal) szerződéses kapcsolatot létesít, tájékoztatja az aláírót (alanyt) a tanúsítvány használatával kapcsolatos feltételekről, valamint a nyilvánosan elérhető Hitelesítési rend [9], jelen Szolgáltatási szabályzat, továbbá az Általános szerződési feltételek [10] dokumentumokról és a szolgáltatási szerződésről, és a felhasználás technikai lehetőségeiről. 29/63
c) Amennyiben az előfizető nem azonos az aláíróval (alannyal), őt is tájékoztatni kell kötelességeiről. d) A Szolgáltató a b) pontban említett kikötéseket és feltételeket tartalmazó, közérthető nyelven megfogalmazott dokumentumokat elektronikusan letölthető formában és tartós eszközön (pl. papírra vagy CD-re írva) egyaránt hozzáférhetővé teszi. 4.1.2 A tanúsítvány igénylés folyamata és a résztvevők felelőssége a) Az aláírónak illetve az előfizetőnek a tanúsítványigénylés folyamatában meg kell adnia azon cím- és egyéb adatait, melyek alapján a későbbiekben az aláíróval illetve előfizetővel fel lehet venni a kapcsolatot. b) A Szolgáltató nyilvántartásba vesz minden, az alany azonosságának igazolására használt információt, beleértve az igazoláshoz használt dokumentáció regisztrációs számát és az annak érvényességével kapcsolatos esetleges korlátozásokat. c) A Szolgáltató nyilvántartásba vesz több, az aláíróval illetve előfizetővel aláírt megállapodást 1, beleértve az alábbiakat: - annak megerősítését, hogy a regisztráció során megadott információ pontos 2. - az aláíró illetve az előfizető nyilatkozatát arra vonatkozóan, hogy kötelezettségeit megismerte és azok betartását vállalja, - az aláíró nyilatkozatát arra vonatkozóan, hogy a részére biztosított kriptográfiai hardver eszköz használatával kapcsolatos kötelezettségeit megismerte és azok betartását vállalja, - az érintett hozzájárulását az egyes szolgáltatások során felhasznált információk Hitelesítés-szolgáltató által történő nyilvántartásba vételéhez, - azt, hogy az előfizető megköveteli-e, az alany pedig hozzájárul-e a tanúsítvány közzétételéhez és milyen feltételek mellett, d) A fent megnevezett nyilvántartásokat a Szolgáltató a keletkezéstől számított 10 évig megőrzi, illetve jogi eljárásokban a tanúsítványon keresztüli bizonyításához szükséges ideig. 1 Az aláíró illetve az előfizető ezen megállapodás különböző pontjaihoz a regisztráció különböző fázisai során is hozzájárulhat. Például a tanúsítványban szereplő információk korrektségére vonatkozó megállapodás a megállapodás egyéb szempontjait követően is megköthető. 2 A fenti megállapodás elektronikus formát is ölthet. 30/63