NETLOCK Kft. MNB-nél működő Kihelyezett Szolgáltató Alegységének Szolgáltatási Szabályzat Kiegészítése (nem minősített hitelesítés-szolgáltatás) Azonosító szám (OID): 1.3.6.1.4.1.3555.1.13.20160630 Azonosító szám kulcstároló eszközön kibocsátott tanúsítványokhoz (OID): 1.3.6.1.4.1.3555.1.53. 20160630 Jóváhagyás időpontja: 2016.06.30 Hatály kezdőnapja: 2016.07.01 Oldalak száma: 45, azaz negyvenöt Készítette: dr. Barabás Anett szabályzat adminisztrátor Jóváhagyta: dr. Szűcs Katalin szabályzatvezető COPYRIGHT, NETLOCK KFT. MINDEN JOG FENNTARTVA NYILVÁNOS
Verziókezelés Dátum Módosította Módosítás leírása 2007.05.23. Dr. Szűcs Katalin Dokumentum létrehozása 2007.06.14. Dr. Nagy Zsolt Pontosítások 2007.06.22. Dr. Nagy Zsolt Kommentek átvezetése 2007.06.26. Dr. Nagy Zsolt Regisztrációs módosítása rend 2007.06.26. Dr. Nagy Zsolt Véglegesítés 2011.05.10. NetLock Szabályzat Elfogadó Egység (SzEE) Szabályzat aktualizálása felülvizsgálata, 2012.07.11 2013.09.13 NetLock Szabályzat Elfogadó Egység (SzEE) dr. Szentirmai László Új OID kibocsátása az eszközszolgáltatás keretében kibocsátott tanúsítványok azonosításához; 1.1.5.2. és 1.1.5.5 frissítése [5] és [15] frissítése A szabályozás kihelyezett szolgáltató alegység koncepció szerinti módosítása. 2013.12.10. Lengyel Anett 2014.04.17 Lengyel Anett NETLOCK székhely változása miatti módosítás ProtecServer Gold firmware verzió módosítása Lenyomatképző azonosítóinak módosítása Kriptográfiai azonosítóinak módosítása algoritmusok algoritmusok Tanúsítvány kiterjesztések azonosítóinak módosítása Alkalmazott formátumok módosítása 2016. 02.15 dr. Lengyel Anett Autentikációs tanúsítvány bevezetése 2016.05.31 dr. Barabás Anett Az eidas és a hazai jogszabályi követelmények átvezetése 2016.06.30 dr. Barabás Anett Az eidas és a hazai jogszabályi követelmények átvezetésének pontosításai 2/45
3/45
Tartalomjegyzék NETLOCK Kft. MNB-nél működő Kihelyezett Szolgáltató Alegységének Szolgáltatási Szabályzat Kiegészítése... 1 (nem minősített hitelesítés-szolgáltatás)... 1 1. Bevezetés... 6 1.1. Áttekintés... 6 1.2. Dokumentum neve és azonosítása... 10 1.3. PKI közösség... 10 1.4. Alkalmazhatóság... 11 1.5. Kapcsolattartás... 12 1.6. Fogalmak és rövidítések... 12 2. Közzététel és tanúsítványtár... 15 2.1. Az információ közzététele... 15 2.2. Tanúsítványokkal kapcsolatos információk... 15 2.3. A közzététel gyakorisága... 16 2.4. Hozzáférés ellenőrzések... 16 3. Azonosítás és hitelesítés... 17 3.1. Elnevezések... 17 3.2. Kezdeti azonosítás... 18 3.3. Azonosítás tanúsítvány kulcscseréje esetén... 19 3.4. Visszavonási kérelem... 19 4. Működésre vonatkozó követelmények... 19 4.1. Tanúsítványigénylés... 19 4.2. Tanúsítványkérelem feldolgozása... 19 4.3. A tanúsítványok kibocsátása és hozzáférhetővé tétele... 24 4.4. Tanúsítványelfogadás... 24 4.5. Tanúsítvány megújítása... 27 4.6. Kulcscsere... 27 4.7. Tanúsítvány módosítása... 27 4.8. Tanúsítvány felfüggesztése és visszavonása... 27 4.9. Tanúsítvány-állapot információk közzététele... 30 4.10. Kulcs letétbe helyezése és visszaállítása... 31 5. Fizikai, eljárásbeli és személyzeti biztonsági óvintézkedések... 31 5.1. Fizikai óvintézkedések... 32 5.2. Az MNB Kihelyezett Szolgáltató Alegység leállítása... 32 5.3. Kulcspár előállítás és telepítés... 32 5.4. A magánkulcsok védelme... 34 4/45
5.5. Aktivizáló adatok... 35 6. Tanúsítvány és visszavonási lista profilok... 36 6.1. Tanúsítványprofilok... 36 6.2. Tanúsítvány visszavonási lista profil... 38 7. Üzleti és jogi tudnivalók... 39 7.1. Bizalmasság, adatvédelem... 39 7.2. Jogok és kötelezettségek... 39 7.3. Felelősség... 42 7.4. Változtatási eljárás... 43 7.5. Hivatkozott jogszabályok, szabványok és egyéb dokumentumok... 44 5/45
1. BEVEZETÉS 1.1. Áttekintés A szabályzat elkészítésének oka: Jelen dokumentum a Szolgáltató Nem Minősített Szolgáltatási Szabályzatának a Kihelyezett Szolgáltató Alegység (lásd 1.3.1) tevékenységére vonatkozó, részletes eljárási és egyéb működési szabályokat tartalmazó Szolgáltatási Szabályzat Kiegészítése (a továbbiakban: Szolgáltatási Szabályzat Kiegészítés). Jelen Szolgáltatási Szabályzat Kiegészítés kizárólag B hitelesítési osztályú, nem minősített aláíró, valamint titkosító tanúsítványok, illetve authentikációs (a továbbiakban: aláíró, authentikációs és titkosító tanúsítvány, együttesen: tanúsítványokra) kibocsátására vonatkozó szabályokat tartalmazza. Jelen Szolgáltatási Szabályzatban nem szabályozott kérdésekben a Szolgáltató Nem Minősített Szolgáltatás Szolgáltatási Szabályzatában, illetve az Általános Szerződési Feltételeiben foglaltak az irányadók. A Kihelyezett Szolgáltató Alegység a Szolgáltató üzemeltetési feladataiban működik közre, részt vesz a tanúsítvány-szolgáltatásban, valamint ezzel összefüggésben intelligens kártya megszemélyesítési feladatokat lát el. A jelen Szabályzat tartalmára és felépítésére az RFC 3647 [6] dokumentum adott útmutatót, mely struktúráját a Szabályzat követi. 1.1.1. A Szabályzat hatálya 1.1.1.1. Tárgyi hatály A Szabályzat tárgyi hatálya az 1.1.3 pontban ismertetett szolgáltatások nyújtását és igénybevételét foglalja magában. 1.1.1.2. Időbeli hatály A Szabályzat időbeli hatálya a jelen verzió hatálybalépésének dátumától kezdődik, és a szolgáltatási tevékenység beszüntetéséig, illetve egy újabb szabályzat verzió hatályba lépéséig tart. 1.1.1.3. Személyi hatály A Szabályzat személyi hatálya a teljes Közösség (ld. 1.3 alfejezet) természetes személy tagjaira terjed ki. 1.1.2. A Szolgáltató A jelen Utasításban Szolgáltatónak nevezett entitás a NETLOCK Informatikai és Hálózatbiztonsági Szolgáltató Korlátolt Felelősségű Társaság. Cégjegyzékszáma: 01-09-563961. A Nemzeti Média- és Hírközlési Hatóság jogelődje, a Hírközlési Főfelügyelet 2001. október 27-én vette nyilvántartásba a Szolgáltatót nem minősített szolgáltatóként. HIF regisztrációs szám: FA 6133-5/2001. A Hírközlési Főfelügyelet 2003. március 19-én vette nyilvántartásba a Szolgáltatót minősített szolgáltatóként. HIF regisztrációs szám: MH-1372-12/2003. Egyéb tanúsítások: Ernst and Young AICPA/CICA WebTrust for Certification Authorities audit (2000) ISO 9001 szabvány (2001. óta folyamatosan) BS 7799-2 (2005. óta folyamatosan) ISO/IEC 27001 (2005. óta folyamatosan) 6/45
A Szolgáltató felelős a Magyar Nemzeti Bank (továbbiakban MNB) hitelesítés-szolgáltatási tevékenységért. A Szolgáltató felelőssége, hogy az általában elvárható magatartás szerint a jelen és kapcsolódó Szabályzatokat, Utasításokat betartsa, betartassa, azok betartását ellenőrizze, és előírja az esetleges Utasítástól eltérő működés megszüntetésének feltételeit. 1.1.3. Szolgáltatások Az MNB tanúsítvány-szolgáltatásban való közreműködést, és ezzel összefüggésben intelligens kártya megszemélyesítési feladatokat lát el. Az MNB tevékenysége a következő fő elemekből áll: Regisztrációs szolgáltatás Aláíró, authentikációs és titkosító tanúsítvány létrehozási szolgáltatás Aláíró eszköz szolgáltatás Egyedi név szolgáltatás Tanúsítványszétosztási szolgáltatás Tanúsítványarchiválási szolgáltatás Adattárolási szolgáltatás Állapotinformációs szolgáltatás Tanúsítványmegújítási szolgáltatás Visszavonás kezelési szolgáltatás 1.1.4. Szabványok és előírások 1.1.4.1. Szolgáltatási Szabályzat Kiegészítés A Szabályzat az RFC 3647 [6] szabvány figyelembe vételével készült. A Szolgáltatási Szabályzat Kiegészítés tartalmi vonatkozásokban eleget tesz a vonatkozó jogszabályok [1], előírásainak, és felhasználja az ETSI 102 042 [10], valamint az x.509 [7] szabvány ajánlásait. 1.1.4.2. Lenyomatképző algoritmusok azonosítói RIPE-MD160 OID ::= { iso(1) identified-organization(3) TeleTrusT(36) algorithm(3) hashalgorithm(2) RIDEMD-160 (1) } SHA-256 OID ::= { joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101) csor(3) nistalgorithm(4) hashalgs(2) SHA-256 (1) } SHA-384 OID ::= {joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101) csor(3) nistalgorithm(4) hashalgs(2) SHA-384(2)} SHA-512 OID ::= {joint-iso-itu-t(2) country(16) us(840) organization(1) gov(101) csor(3) nistalgorithm(4) hashalgs(2) SHA-512(3)} A Szolgáltató a Kihelyezett Szolgáltató Alegység tevékenysége során az itt meghatározott algoritmusokat legfeljebb az Algoritmus Határozatban [13] megjelölt időpontig használja. 1.1.4.3. Kriptográfiai algoritmusok azonosítói RSA OID ::= { iso(1) member-body (2) USA (840) RSADSI (113549) PKCS (1) PKCS-1 (1) RSA Encryption (1) } 7/45
DSA OID ::= { iso(1) member-body(2) us(840) X9-57 (10040) x9algorithm (4) id-dsa (1) } A Szolgáltató az itt meghatározott algoritmusokat legfeljebb a Felügyelet Algoritmus Határozatában [13] megjelölt időpontig használja. 1.1.4.4. Tanúsítvány kiterjesztések azonosítói - KeyUsage OID ::= { Joint ISO/ITU-T assignment(2) X.500 Directory Services(5) certificateextension (29) Key Usage (15) } - EnhancedKeyUsage OID ::= { Joint ISO/ITU-T assignment(2) X.500 Directory Services(5) certificateextension (29) Extended key usage (37) } - BasicConstraints OID ::= { Joint ISO/ITU-T assignment(2) X.500 Directory Services(5) certificateextension (29) Basic Constraints (19) } - CertificatePolicies OID ::= { Joint ISO/ITU-T assignment(2) X.500 Directory Services(5) certificateextension (29) Certificate Policies (32) } - AIA:OCSP OID ::= {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) ad(48) OCSP (1)} - AIA:CAIssuers OID::= {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) ad(48) id-ad-caissuers (2)} - CRL Distribution Point OID ::= { Joint ISO/ITU-T assignment(2) X.500 Directory Services(5) objectclass(6) id-oc-crldistributionpoint (19)} 1.1.4.5. Alkalmazott formátumok Tétel Aláírás létrehozó adat Kérelem Tanúsítvány CRL Alkalmazott / elfogadott formátum, szabvány PKCS12 PEM, PKCS12 DER PKCS10 PEM, X509 selfsigned PEM, X509 PEM, X509 DER, X509 PKCS7, X509 PEM, X509 DER, X509 PKCS7 1.1.5. Hitelesítés-szolgáltatás és tanúsítványfajták A Kihelyezett Szolgáltató Alegység közreműködik az előzetes entitásazonosítás után az igénylők (későbbi alanyok) számára történő üzleti (munkatársi) aláíró, authentikációs és titkosító tanúsítványok kibocsátásában. A tanúsítvány a hitelesítés-szolgáltatás keretében kibocsátott igazolás, amely a nyilvános kulcsot egy meghatározott alanyhoz vagy szervezethez kapcsolja, és igazolja az alany azonosító adatait vagy valamely más tény fennállását. A jelen Szabályzat szerint szabályozott végfelhasználói tanúsítványfajták összefoglaló táblázata az alábbi. A tanúsítványfajtákhoz tartozó profilok leírását a 6. fejezet tartalmazza. Fajta Alany Engedélyezett alkalmazások Üzleti (munkatársi) aláíró Természetes személy a Kihelyezett Szolgáltató Alegység munkatársaként Elektronikus aláírás készítése Tiltott alkalmazások Felelősség biztosítás összege Bármilyen korlátozás (földrajzi, tárgybeli, értékbeli, időbeli stb.) megszegése A tanúsítványban szereplő érték, de maximálisan 5 millió forint Joghatás Írásbeliség (magánokirat) 8/45
Fajta Alany Engedélyezett alkalmazások Üzleti (munkatársi) titkosító Autentikációs Természetes személy a Kihelyezett Szolgáltató Alegység munkatársaként Természetes személy a Kihelyezett Szolgáltató Alegység munkatársaként Titkosítási műveletek végrehajtása Tanúsítvány Alanya azonosítása, bejelentkezés az OCCSZ rendszerhez Tiltott alkalmazások Felelősség biztosítás összege Bármilyen korlátozás (földrajzi, tárgybeli, értékbeli, időbeli stb.) megszegése Bármilyen korlátozás (földrajzi, tárgybeli, értékbeli, időbeli stb.) megszegése A tanúsítványban szereplő érték, de maximálisan 5 millió forint A tanúsítványban szereplő érték - Joghatás - - A Kihelyezett Szolgáltató Alegység szolgáltatásait igénybevevő Alanyok egyéni joga és felelőssége, hogy a fentiek közül egy adott célra milyen tanúsítványt alkalmaznak. 1.1.6. Tanúsítvány-kibocsátás A Kihelyezett Szolgáltató Alegység (a továbbiakban: KSZA) a tanúsítványok kibocsátása mellett az aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése szolgáltatás (aláíró eszköz szolgáltatás) nyújtásában is közreműködik. A KSZA a Szolgáltató aláíró eszköz-szolgáltatása keretében a hatályos jogszabályok és a jelen Szolgáltatási Szabályzat Kiegészítés rendelkezéseinek figyelembe vételével az alany számára kulcspárt generál az adott aláírás létrehozó eszközre. Aláíró eszköz szolgáltatás biztosítása aláíró tanúsítványok kibocsátása során, mellyel összefüggésben a KSZA: az aláíró kulcsokat a fokozott biztonságú elektronikus aláírások céljaira alkalmas algoritmus [23] felhasználásával generálja, illetve az eszközt megszemélyesíti; gondoskodik arról, hogy a kulcs hossza és az alkalmazott nyilvános kulcsú algoritmus [23] a fokozott biztonságú elektronikus aláírás céljaira alkalmas legyen; a kulcsok generálását és az Alanyhoz történő továbbítását megelőző tárolását a Szolgáltatóval közreműködve, biztonságosan végzi; biztosítja az aláíró kulcsok titkosságát, valamint az aláírás-ellenőrző adat sértetlenségét; gondoskodik róla, hogy az Alany aláírás-létrehozó adata a szolgáltatás nyújtása során visszafejtésre alkalmas módon ne kerüljön tárolásra; gondoskodik az általa biztosított aláírás-létrehozó eszköz kibocsátásakor az eljárás biztonságosságáról; biztosítja, hogy az aláírás-létrehozó eszköz a szándék szerinti, hitelesített Aláíróhoz kerül; aláíró eszköz biztosítása esetén az aktivizáló adatokat az aláírás-létrehozó eszköztől elkülönítve juttatja el az Aláíróhoz; gondoskodik róla, hogy a saját munkavállalói ne élhessenek vissza az aláírás-létrehozó eszközzel a következőképpen: PIN számok megismerése, magánkulcsok, tanúsítványok használata; az aláírás-létrehozó eszköz előkészítése és továbbítása során alkalmazza a biztonsági eljárásokat; Titkosító tanúsítványok kibocsátása során a KSZA az alábbiak szerint jár el: 9/45
a titkosító kulcsok generálása az intelligens kártyán történik; 1.2. Dokumentum neve és azonosítása Jelen dokumentum: Teljes neve: NETLOCK Kft. MNB-nél működő Kihelyezett Szolgáltató Alegységének Szolgáltatási Szabályzat Kiegészítése (nem minősített hitelesítés-szolgáltatás) Rövid neve: Szolgáltatási Szabályzat Kiegészítés Verziószáma: a fedlapon található verziószám 1.3. PKI közösség A kibocsátott tanúsítványok, aláírás-létrehozó eszközök alkalmazó közössége a Szolgáltató, az MNB Kihelyezett Szolgáltató Alegység, a tanúsítványok végfelhasználói és az Érintett Felek. 1.3.1. Kihelyezett Szolgáltató Alegység A Szolgáltató az MNB-nél Kihelyezett Szolgáltató Alegységet működtet (a továbbiakban: Kihelyezett Szolgáltató Alegység vagy KSZA), melyen keresztül az eidas hatálya alá tartozó hitelesítés-szolgáltatási tevékenységet végez az MNB. munkatársainak közreműködésével. 1.3.1.1. Hitelesítő Alegység A Hitelesítő Alegység a Kihelyezett Szolgáltató Alegységnek a végfelhasználói tanúsítványok létrehozásában közreműködő hitelesítő egysége (a továbbiakban: Hitelesítő Alegység), melynek munkájában részt vesznek az MNB Bankbiztonsági igazgatóságának illetve az Informatikai igazgatóságának munkatársai. A Hitelesítő Alegység az előírt eljárási rend szerint a hozzá tartozó Regisztrációs Alegységek kérelme alapján közreműködik a jóváhagyott aláíró és titkosító tanúsítványok kiadásában, publikálásában, visszavonásában. Emellett gondoskodik a Tanúsítvány Visszavonási Lista (a továbbiakban: CRL) publikálásáról is. Név: Egység: MNB Nem Minősített Hitelesítő Egység MNB Bankbiztonsági igazgatóság Cím: 1054 Budapest, Szabadság tér 8-9.. Telefon: (1) 428-2600 /3129 Internet cím: E-mail: 1.3.1.2. Regisztrációs Alegység www.mnb.hu tanusitvanyok@mnb.hu A Kihelyezett Szolgáltató Alegység Regisztrációs Alegységet működtet, amelynek feladata a kezdeti regisztrációban és a tanúsítvány kibocsátásával kapcsolatos egyéb tevékenységben való közreműködés, tanúsítványkezelési feladatokban részvétel, ideértve a felhasználókkal való kapcsolattartást is. A Regisztrációs Alegység a tanúsítvány-kibocsátási folyamat során a felhasználói adatellenőrzés végzésében működik közre, amely tevékenységet a mindenkor hatályos jogszabályi követelményeknek - így különösen az eidas-nak [1], illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek - megfelelően végzi. 1.3.1.3. Felhasználó Támogatási Csoport Az MNB saját szervezetén belül Felhasználó Támogatási Csoportot működtet. A Felhasználó Támogatási Csoportot nem tagja a tanúsítványkezelő szervezetnek. 10/45
1.3.2. Végfelhasználók Név: MNB Felhasználó Támogatási Csoport Egység: MNB Informatikai igazgatóság Cím: 1054 Budapest, Szabadság tér 8-9.. Telefon: (1) 428-2600/1585 Internet cím: www.mnb.hu E-mail: helpdesk@mnb.hu A Szolgáltató a Kihelyezett Szolgáltató Alegység közreműködésével a jelen Szolgáltatási Szabályzat Kiegészítés alapján az MNB-vel munkaviszonyban álló természetes személyek részére üzleti (munkatársi) aláíró, authentikációs, illetve titkosító tanúsítvány bocsát ki. A Szolgáltató az alanyokkal a KSZA Regisztrációs Alegységén keresztül tart kapcsolatot. 1.3.3. Érintett fél Az Érintett Fél a Közösség azon tagja, aki az elektronikus aláírási és titkosítási képesség ellenőrzése céljából a Kihelyezett Szolgáltató Alegység közreműködésével kibocsátott tanúsítványhoz fordul, illetőleg ezen tanúsítvány, érvényességének ellenőrzéséhez az MNB által karbantartott nyilvántartásokat ellenőrzi. Az MNB az Érintett Féllel elsősorban a tanúsítvány visszavonási információkon keresztül tart kapcsolatot. 1.4. Alkalmazhatóság 1.4.1. Engedélyezett alkalmazási lehetőségek A kibocsátott üzleti (munkatársi) aláíró végfelhasználói tanúsítványok magánkulcs párjai kizárólag elektronikus dokumentumon (melybe egyéb nyilvános kulcsok nem értendők bele) elektronikus aláírások megtételére, míg a tanúsítványokban található nyilvános kulcsok az aláírások ellenőrzésére használhatók fel a tanúsítványban foglaltaknak megfelelően. (Lásd még 1.1.6 pont) A kibocsátott üzleti (munkatársi) titkosító végfelhasználói tanúsítványok nyilvános kulcs párjai kizárólag a dokumentumon elektronikus titkosítások megtételére, míg az Alanynál található magánkulcs a titkosított dokumentum dekódolására használhatók fel a tanúsítványban foglaltaknak megfelelően. A kibocsátott üzleti (munkatársi) authentikációs tanúsítványok az OCCSZ (Országos Cégnyilvántartó és Céginformációs Rendszer) rendszerből való lekérdezéshez szükséges azonosítást biztosítja. Az azonosítás a tanúsítványhoz tartozó magánkulccsal történik. A végzett művelet technikailag megegyezik az aláírással. A Kihelyezett Szolgáltató Alegység Szolgáltató által felülhitelesített köztes kiadói tanúsítványa végfelhasználói tanúsítványok, illetve ezen tanúsítványok státuszinformációit tartalmazó CRL hitelesítésére használható fel. 1.4.2. Korlátozott alkalmazási lehetőségek Az egyes tanúsítványfajtáknak megfelelő konkrét korlátozásokat lásd még a tanúsítványfajtáknál (1.1.5 pont), illetve a tanúsítványfajtákhoz tartozó profiloknál (6. fejezet). 1.4.3. Tiltott alkalmazási lehetőségek A tanúsítványok használatára vonatkozó bármely korlátozást (ld. előző pont) megszegő alkalmazása tilos. A végfelhasználói tanúsítványok magánkulcs párjai más nyilvános kulcsú tanúsítványok aláírására történő felhasználása, vagy bármilyen hitelesítés-szolgáltatás nyújtásához történő alkalmazása tilos. A Hitelesítő Alegység szolgáltatói aláíró tanúsítványok magánkulcs párjai csak végfelhasználói tanúsítványok, illetve a végfelhasználói tanúsítványok státuszára vonatkozó CRL aláírására használhatók, egyéb, az eidas hatálya alá tartozó, az elektronikus aláírással kapcsolatos szolgáltatás, illetve egyéb hitelesítés-szolgáltatás nyújtásához történő alkalmazása tilos. 11/45
1.5. Kapcsolattartás 1.5.1. A Szolgáltató adatai Név: Egység: NetLock Informatikai és Hálózatbiztonsági Szolgáltató Korlátolt Felelősségű Társaság NETLOCK Kft. Székhely: 1101 Budapest, Expo tér 5-7. Telefon: (1) 437-6655 Fax: (1) 700 2828 Internet cím: Központi e-mail: Panaszok helye: bejelentésének Illetékes fogyasztóvédelmi felügyelőség: www.netlock.hu info@netlock.hu info@netlock.hu Budapest Főváros Kormányhivatal Fogyasztóvédelmi Felügyelősége 1052 Budapest, Városház u. 7. 1.5.2. 1.5.2. Jelen szabályzat szerinti Kihelyezett Szolgáltató Alegység adatai Név: Magyar Nemzeti Bank Egység: MNB Székhely: 1054 Budapest, Szabadság tér 8-9. Telefon: (1) 428-2600 /3129 Fax: (1) 428-2585 1.5.3. Ügyfélszolgálat és ServiceDesk A szolgáltatással kapcsolatos kérdésekkel, problémákkal a végfelhasználók a Szolgáltatóhoz, illetve a Kihelyezett Szolgáltató Alegységhez fordulhatnak szóban vagy írásban. A Szolgáltató az interneten információs szolgáltatást működtet. A Szolgáltató internetes információs rendszere és e-mail fiókjai minden nap 0 24 óráig fogadják a bejelentéseket. A Szolgáltató a bejelentésre legkésőbb a következő 3 munkanap alatt reagál (válasz e- mail cím vagy telefonszám birtokában) és a tartalmi válasz várható idejét is jelzi. A Kihelyezett Szolgáltató Alegység a Felhasználó Támogatási Csoporton keresztül fogadja a tanúsítványkibocsátással kapcsolatos kérdéseket, problémákat. 1.5.4. A Szolgáltatási Szabályzat Kiegészítéssel kapcsolatos kérdések Jelen Szolgáltatási Szabályzat Kiegészítés karbantartását a Szolgáltató Szabályzatért Felelős Egysége végzi. A szabályzatokkal és szerződésekkel kapcsolatos kérdésekkel és észrevételekkel közvetlenül a Szolgáltató Szabályzatért Felelős Egysége kereshető meg a Szolgáltató info@netlock.hu e-mail címen (ld. 1.5.1 pont). 1.6. Fogalmak és rövidítések 1.6.1. Fogalmak Alany: A tanúsítvány alany (Subject) mezőjében megadott adatokkal meghatározott természetes személy, aki a tanúsítványban szereplő nyilvános kulcs párját jelentő magánkulcs felett rendelkezik. Aláírás-ellenőrző adat: Olyan egyedi adat (jellemzően kriptográfiai nyilvános kulcs), melyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ. Aláírás-létrehozó adat: Olyan egyedi adat (jellemzően kriptográfiai magánkulcs), melyet az Aláíró az elektronikus aláírás létrehozásához használ. Aláírás-létrehozó eszköz: Szoftver vagy hardver, melynek segítségével az Aláíró az aláíráslétrehozó adatok felhasználásával az elektronikus aláírást létrehozza. 12/45
Üzleti (munkatársi) tanúsítvány: Olyan személyes tanúsítvány melyben az abban szereplő természetes személyt a másodlagos alany saját magához tartozónak ismeri el. Alkalmazó Közösség: A PKI rendszert alkalmazó, működtető entitások összessége. Common Name (CN): Az Alany tanúsítványban szereplő, szokásos megnevezéséből képzett neve. Distinguished Name (DN): A tanúsítványban szereplő, szokásos megnevezéséből, lakóhely vagy székhely szerinti város, ország megnevezéséből, valamint e-mail címéből képzett egyedi neve. Elektronikus aláírás: Elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat. Ellenőrzési lépések: Az elektronikus aláírás ellenőrzésekor kötelezően végrehajtandó lépések, melyeket az Utasítás tartalmaz. Érintett Fél: Az a személy, aki elektronikus aláírás érvényességének ellenőrzése, illetve hiteles időpont megállapítása céljából a Szolgáltató által kibocsátott tanúsítványhoz, illetve időbélyeghez fordul. Eszközszolgáltatás: Az a szolgáltatás, melynek során a Kihelyezett Szolgáltató Alegység az elektronikus aláíráshoz kapcsolódó aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése szolgáltatásában közreműködik, illetve a titkosító tanúsítványok kibocsátásához kapcsolódó kulcsgenerálási tevékenységet végez. Hatóság: Nemzeti Média és Hírközlési Hatóság Fizikailag biztosított terület: Olyan helyiség, amely ésszerű határok mellett képes megvédeni a benne elhelyezett eszközöket az elemi károktól, illetve a szándékos illetéktelen hozzáféréstől. Fokozott biztonságú elektronikus aláírás: Elektronikus aláírás, amely megfelel a következő követelményeknek: alkalmas az Alany azonosítására és egyedülállóan hozzá köthető, olyan eszközökkel hozták létre, amelyek kizárólag az aláíró befolyása alatt állnak, a dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően a dokumentumon tett - módosítás érzékelhető. Hash: Ld. Lenyomat. Késedelem nélküli cselekedet: A mindenkori technikai feltételek által megengedett lehető leggyorsabb intézkedést jelenti. Közhiteles nyilvántartás: olyan, hatóság által vezetett nyilvántartás, melynek tartalmát, az abban szereplő adatok valódiságát az ellenkező bizonyításig mindenki köteles elfogadni. Ilyen közhiteles nyilvántartás a cégnyilvántartás, valamint a polgárok személyi és lakcím adatait tartalmazó nyilvántartás. (Kriptográfiai) Kulcs: Kriptográfiai transzformációt vezérlő egyedi digitális jelsorozat, amelynek ismerete rejtjelezéshez és visszaállításhoz, specifikusan az elektronikus aláírás előállításához, illetőleg ellenőrzéséhez szükséges. Lenyomat: Olyan meghatározott hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás (lenyomatképző eljárás) a képzés időpontjában teljesíti a következő feltételeket: a képzett lenyomat egyértelműen származtatható az adott elektronikus dokumentumból, a képzett lenyomatból az elvárható biztonsági szinten belül nem lehetséges az elektronikus dokumentum tartalmának meghatározása vagy a tartalomra történő következtetés, 13/45
a képzett lenyomat alapján az elvárható biztonsági szinten belül nem lehetséges olyan elektronikus dokumentum utólagos létrehozatala, amelyre alkalmazva a lenyomatképző eljárás eredményeképp az adott lenyomat keletkezik. Másodlagos alany: Az jogi személy vagy jogi személyiséggel nem rendelkező szervezet, amely a üzleti (munkatársi) tanúsítvány alanyával együttesen szerepel a tanúsítványban és aki az alanyt saját magához tartozónak ismeri el, jelen Utasítás vonatkozásában a Magyar Nemzeti Bank. Magánkulcs: Amennyiben a Szolgáltató jelen Szabályzatban erre vonatkozóan kifejezett rendelkezést nem tesz, magánkulcs alatt az aláíró tanúsítvány esetén az elektronikus aláírást létrehozásához használt adatot, bélyegző tanúsítvány esetén az elektronikus bélyegzőt létrehozásához használt adatot, SSL és kódaláíró tanúsítvány esetén a titkos (privát) kulcsot egyaránt kell érteni. MNB Központ: MNB hitelesítési rendszer irányításáért felelős szervezeti egység, az MNB Bankbiztonság Működési kockázatkezelési osztályának IT biztonsági csoportja Nyilvános kulcs: Amennyiben a Szolgáltató jelen Szabályzatban erre vonatkozóan kifejezett rendelkezést nem tesz, nyilvános kulcs alatt az aláíró és bélyegző tanúsítvány esetén az érvényesítési adatot, SSL és kódaláíró tanúsítvány esetén a publikus kulcsot egyaránt érteni kell. Out-of-band: Elektronikus információk szokásos használati környezeten kívül történő előállítási, továbbítási módja. Összesített felelősség: Tanúsítványok és káresemények alapján történő összesítés szerinti felelősség, a tranzakciók, elektronikus aláírások, és alkalmazások számától függetlenül. Publikus (Nyilvános) Kulcsú Infrastruktúra: A tanúsítványok kibocsátásában és kezelésében részt vevő technikai eszközök, egységek, ezen tevékenységeket hivatalosan felügyelő és meghatározó intézmények, a felhasználók által alkalmazott kriptográfiai eszközök és tevékenységek összessége. Regisztrációs Adminisztrátor: Azon közreműködő természetes személy, aki a Regisztrációs Alegység feladatait végzi el Subject Name (SN): Az alany megnevezése, egyedi neve (DN). Szabályzatért Felelős Egység: A jelen és kapcsolódó szabályzatok kialakításáért, elfogadásáért és adminisztrációjáért felelős szolgáltatói egység. Szolgáltatási Szabályzat: A Szolgáltató a hitelesítési tevékenységével kapcsolatos részletes eljárási és egyéb működési szabályokat tartalmazó nyilvános dokumentum. Szolgáltató: A NETLOCK Kft., amely az MNB számára a tanúsítványkiadó infrastruktúra működtetéséhez szükséges szolgáltatói alegység kiadói tanúsítványát biztosítja. Szolgáltatási Szabályzat Kiegészítés: A Szolgáltató meghatározott felhasználói kör részére nyújtott szolgáltatáshoz kapcsolódó, az adott tevékenységre vonatkozó kiegészítő, illetve specifikus eljárási és működési szabályokat tartalmazó nyilvános dokumentum. Tanúsítvány: A Szolgáltató részéről a Kihelyezett Szolgáltató Alegység közreműködésével kibocsátott elektronikus igazolás, amely az aláírás-ellenőrző adatot illetve a titkosításhoz használt nyilvános kulcsot a tanúsítvány alanyához kapcsolja. Tanúsítvány-szolgáltatás: azon eljárás, melynek során a Szolgáltató a Kihelyezett Szolgáltatási Alegység közreműködésével a Szolgáltatási Szabályzat Kiegészítésben meghatározott eljárásban új aláíró és titkosító célú tanúsítványt bocsát ki a felhasználó részére. A tanúsítvány-szolgáltatáshoz kapcsolódóan a KSZA tanúsítványállapot-szolgáltatást is nyújt, melynek keretében fogadja a 14/45
tanúsítvány-visszavonási kérelmeket és a Szolgáltatási Szabályzat Kiegészítésben meghatározott időközönként Tanúsítvány Visszavonási Listát bocsát ki. Tanúsítványállapot-nyilvántartás: A legközelebb kibocsátásra kerülő Tanúsítvány Visszavonási Lista tartalmához kapcsolt on-line lekérdezhető információk. Ezen információk joghatással nem bírnak. Tanúsítványtár: A végfelhasználói a Kihelyezett Szolgáltató Alegység által végfelhasználói tanúsítványok aláírására szolgáló tanúsítványok, visszavont tanúsítványadatok, Szolgáltatói Szabályzatok publikálásáért, tárolásáért felelős alegység. Tanúsítvány Visszavonási Lista (CRL Certificate Revocation List): Valamely okból visszavont, azaz érvénytelenített, illetve felfüggesztett, azaz ideiglenesen érvénytelenített tanúsítványok azonosítóit tartalmazó elektronikus lista, melyet a Szolgáltató a Kihelyezett Szolgáltató Alegység közreműködésével bocsát ki. Végfelhasználó: Szerződéses partner, aki a Szolgáltató részéről a Kihelyezett Szolgáltató Alegység. közreműködésével kibocsátott végfelhasználói tanúsítvánnyal rendelkezik. Végfelhasználói tanúsítvány: A Szolgáltató részéről a Kihelyezett Szolgáltató Alegység közreműködésével kibocsátott olyan tanúsítvány, amelyet az alany kizárólag elektronikus aláírás előállítására illetve titkosításra használhat, de más tanúsítvány hitelesítésére nem. A végfelhasználó tanúsítvány szervezet mezőjében kizárólag az MNB Zrt. kerülhet feltüntetésre. 2. KÖZZÉTÉTEL ÉS TANÚSÍTVÁNYTÁR 2.1. Az információ közzététele 2.1.1. Közzétételi és tájékoztatási elvek 2.1.1.1. A Szolgáltatási Szabályzat Kiegészítésben nem tárgyalt elemek A Szolgáltató, illetve a Kihelyezett Szolgáltatási Alegység nyilvános szabályzataiban csak azon eljárásait hozza nyilvánosságra, melyek ismerete a szolgáltatás biztonságát nem veszélyezteti. Szolgáltató, illetve a KSZA több belső biztonsági és egyéb szabályzattal, operatív szintű előírással rendelkezik, melyeket bizalmasan kezel (jelen Szabályzat több ilyet is megemlít). Jelen Szolgáltatási Szabályzat Kiegészítésben nem tárgyalt kérdések kapcsán a Szolgáltató egyéb szabályzatai az irányadóak. 2.1.1.2. A Szolgáltatási Szabályzat Kiegészítés közzététele Az MNB jelen szolgáltatási utasítást weboldalán (cdp.mnb.hu) keresztül hozza nyilvánosságra. A NETLOCK Kft. honlapján az alábbi link alatt érhető el: https://www.netlock.hu/html/dok.html#aktualis 2.1.1.3. Észrevételek kezelése Az Utasítással kapcsolatos észrevételeket Szolgáltató az info@netlock.hu címen fogadja. A Kihelyezett Szolgáltató Alegység az általa megválaszolni nem tudott megkereséseket a beérkezett észrevételek 3 munkanapon belül továbbítja a Szolgáltató felé. 2.2. Tanúsítványokkal kapcsolatos információk 2.2.1. Tanúsítványok közzététele A Szolgáltató saját, illetve a Kihelyezett Szolgáltató Alegységnek tanúsítványát a következő módszerekkel teszi közzé: - saját szolgáltatói tanúsítványát közzéteszi tanúsítványtárában, illetve saját weboldalán; 15/45
- a Kihelyezett Szolgáltató Alegység végfelhasználói tanúsítványok aláírására használt szolgáltatói tanúsítványát közzéteszi a tanúsítványtárban, illetve saját weboldalán. A Kihelyezett Szolgáltató Alegység a kibocsátott végfelhasználói tanúsítványokat az Alany hozzájárulása alapján közzéteszi a saját tanúsítványtárában. 2.2.2. A tanúsítvány visszavonásának és felfüggesztésének nyilvánosságra hozatala A Szolgáltató az általa működtetett Kihelyezett Szolgáltató Alegység tanúsítványával kapcsolatos állapotinformációkat a következő módszerekkel teszi közzé: Kihelyezett Szolgáltató Alegység végfelhasználói tanúsítványok aláírására használt szolgáltatói tanúsítványának állapotváltozását a saját tanúsítványtárában tünteti fel. A Kihelyezett Szolgáltató Alegység a Hitelesítő Alegysége közreműködésével kiadott végfelhasználói tanúsítványokkal kapcsolatos állapotinformációkat a következő módszerekkel teszi közzé: a végfelhasználói tanúsítványok állapotváltozását a tanúsítványtárában hozza nyilvánosságra (cdp.mnb.hu), végfelhasználói tanúsítvány visszavonását és felfüggesztését az MNB akkor is nyilvánosságra hozza, ha a tanúsítvány közzétételéhez az alany (igénylő) nem járult hozzá. 2.3. A közzététel gyakorisága 2.3.1. Tanúsítványok nyilvánosságra hozatalának gyakorisága Az MNB a nem minősített üzleti (munkatársi) aláíró és titkosító tanúsítványok nyilvánosságra hozatala kapcsán a következő gyakorlatot követi: Szolgáltató a közreműködő Kihelyezett Szolgáltató Alegység által használt kiadói tanúsítványokat a kibocsátást követő 1 munkanapon belül teszi közzé, a Kihelyezett Szolgáltató Alegység a végfelhasználói tanúsítványokat a tanúsítványtárában az előállítást követően 1 munkanapon belül helyezi el tanúsítványtárában. 2.3.2. A tanúsítvány visszavonásának és felfüggesztésének nyilvánosságra hozatali gyakorisága A Kihelyezett Szolgáltató Alegység a kibocsátott végfelhasználói tanúsítványával kapcsolatos állapotinformációkat a 4.9.1 pontban tárgyalt gyakorisággal teszi közzé. 2.4. Hozzáférés ellenőrzések A Szolgáltató által közzétett kikötések és feltételek, rendkívüli információk, tanúsítványok és állapotinformációk nyilvános információk. Olvasás céljából bárki elérheti ezeket az információkat, a közlő közegek sajátosságainak megfelelően. A Szolgáltató által közölt információkat az MNB kizárólag csak a Szolgáltatóval történő előzetes egyeztetést követően egészítheti ki, törölheti vagy módosíthatja. Az MNB különböző védelmi mechanizmusokkal akadályozza meg az információk jogosulatlan módosítását. 2.4.1. Tanúsítványtárak A Kihelyezett Szolgáltató Alegység az Érintett Felek számára a rendelkezésére álló legpontosabb adatokat biztosítja a lehetőségeknek, vállalásoknak megfelelően leghamarabb, és ennek érdekében nyilvános Tanúsítványtárat üzemeltet az Internet címén (lásd 1.5 pont), mely szabványos HTTP, illetve HTTPS protokollokkal érhető el az ott megvalósított lekérdezési műveletekkel. A tanúsítványtárban a Szolgáltató részéről a Kihelyezett Szolgáltató Alegység közreműködésével kibocsátott tanúsítványok és a visszavont tanúsítványok listái (nyilvános rész) találhatók. 16/45
A tanúsítványtár elérhetőségét Szolgáltató folyamatosan (az év minden napján, 0 24h) biztosítja a karbantartáshoz szükséges idők kivételével. A Szolgáltató a tervezett karbantartásokat munkaidőn kívüli időszakokra ütemezi. A Szolgáltató részéről a Kihelyezett Szolgáltató Alegység közreműködésével kibocsátott tanúsítványok nyilvántartása, a visszavonási nyilvántartások, valamint az online tanúsítvány állapot lekérdezési lehetőség legalább 99%-os rendelkezésre állással elérhetők, egyúttal az eseti szolgáltatás kiesések nem haladják meg a 24 órás időtartamot. 3. AZONOSÍTÁS ÉS HITELESÍTÉS 3.1. Elnevezések A nevek regisztrációjának szabályai valamennyi tanúsítványfajtára vonatkoznak. 3.1.1. Névtípusok 3.1.1.1. Általános szabályok A tanúsítvány azonosító mezői ( Subject és Issuer ) az X.500 egyedi névformátum előírásainak felelnek meg. A Subject és Issuer mezőre vonatkozó további szabályok: a tanúsítványban az adatok speciális és vezérlő karakterek nélkül szerepelnek, a nevek egyes egységeit szóköz választja el, a nevek alapértelmezetten tanúsítványban az alábbiak szerint kerülnek feltüntetésre: a személyazonosság igazolására elfogadott hatósági igazolványban (lásd 3.2.3 pont) foglalt névvel betű szerint megegyezően, a névben szereplő ékezetes betűket eredeti írásmódjuk szerint feltüntetve CN és opcionálisan SN mezőkkel (CN = Teljes név = Vezetéknév + Keresztnév, SN = Vezetéknév), általában az UTF-8 kódolást használva; a nevek egyes egységeit szóköz választja el. Ezen szabályoktól a Szolgáltató Kihelyezett Szolgáltató Alegysége kivételesen, eltérhet, amennyiben a Common Name, Organization és Organization Unit mezőkre vonatkozó méretbeli korlátok nem teszik lehetővé az ilyen formában történő teljes adatrögzítést. a tanúsítványban kivételesen, egyedileg meghatározott esetben, a vonatkozó szabványok szerinti meghatározott maximális karakterszámot meghaladó elnevezések esetén rövidítés használata lehetséges, a tanúsítványban a CN mező nem üres, a Title mező opcionálisan tartalmazhatja az alany beosztását, az Organization mezőben mindig az MNB szerepel másodlagos alanyként, valamint az Organization-unit mezőben szerepelhet az MNB szervezeti egysége, a Locality mezőben az MNB székhelyeként Budapest kerül feltüntetésre, a az MNB az ISO 3166 [3] szabványban meghatározott kétkarakteres országkódként a HU -t alkalmazza. a tanúsítvány SubjectAltname mezőjében szereplő elektronikus levelezési cím struktúrája megfelel az RFC 822 előírásainak. 3.1.1.2. Speciális szabályok a CertificatePolicies mező használatára vonatkozóan Ha a tanúsítvány tartalmaz CertificatePolicies mezőt, akkor amennyiben a tanúsítvány kriptográfiai kulcsa a Kihelyezett Szolgáltató Alegység közreműködésével eszközszolgáltatás keretében került kibocsátásra, akkor a tanúsítvány tartalmazza az 1.3.6.1.4.1.3555.1.52.ÉÉÉÉHHNN azonosítót, ahol az ÉÉÉÉHHNN jelen Szolgáltatási Szabályzat Kiegészítés mindenkor hatályos verziószámát, azon belül is az elfogadásának napját jelenti. 17/45
3.1.2. Álnév használata 3.1.2.1. Általános szabályok A Kihelyezett Szolgáltató Alegység nem működik közre álnevet tartalmazó tanúsítvány kibocsátásában. 3.1.3. Különböző elnevezési formák értelmezési szabályai 3.1.3.1. Kibocsátó azonosító A kibocsátó azonosítója úgy értelmezendő, hogy a tanúsítványt a NETLOCK Kft. mint Hitelesítésszolgáltató adta ki (székhely, elérhetőség: ld. 1.5 alfejezet). Az aláíró tanúsítvány magánkulcs párja a jogszabályok szerint fokozott biztonságú elektronikus aláírások létrehozására alkalmas. Az Issuer mező a tanúsítvány kibocsátójának székhely szerinti országkódját (Country), a szervezet nevét (Organization), szervezeti egységét (Organization Unit) és az adott tanúsítványkiadó megnevezését (Common Name) tartalmazza. 3.1.3.2. Alanyazonosító 3.1.3.2.1. Általános szabályok Az alany azonosítója úgy értelmezendő, hogy a tanúsítvány alanya a Common Name nevű, Surname vezetéknevű természetes személy, aki az Organization nevű szervezet (jelen esetben: MNB) Organization-unit osztályához, illetve szervezeti egységéhez (jelen esetben: MNB szervezeti egysége) tartozik. Az azonosításban egyéb mezők is értelmezettek lehetnek. A természetes személy nevei (családi, elő- és utóneve) betű szerint megegyezően, ékezetes betűket eredeti írásmódjuk szerint feltüntetve UTF-8 kódolással - olyan sorrendben szerepelnek a Common Name mezőben, ahogyan azok a személyazonosságát igazoló okmányban. A nevek egyes egységeit szóköz választja el A szervezet székhelye vagy telephelye a Country országban, Locality településén található. Amennyiben feltüntetésre kerül, a Title mező tartalmazza az alany beosztását. Az alanyazonosító mezőnek célja, hogy a tanúsítvány alanyát (a felhasználó egységen belül) azonosítani lehessen. Az alany és a másodlagos alany egység(ek) együttes megjelenítése a tanúsítványban azt jelenti, hogy a másodlagos hozzájárult az alany(ok) és az egység(ek) nevének együttes feltüntetéséhez. Az alany e-mail címe az igénylő egységgel összefüggésben a SubjectAltName-ben az rfc822name. Az Organization mezőben minden esetben az MNB kerül feltüntetésre. 3.1.4. A nevek egyedisége Az MNB a kibocsátott összes tanúsítvány esetében a tanúsítványok alanyait egymástól egyértelműen megkülönbözteti a tanúsítványban rögzített összes személyes adatuk (név, lakóhely ország, lakóhely város, e-mail cím, illetve a szolgáltató által esetleg generált sorszám) segítségével (egyedi név). 3.1.4.1. Eljárások a nevekre vonatkozó vitás kérdések megoldására A Kihelyezett Szolgáltató Alegység fenntartja magának a jogot a név kiosztással kapcsolatos mindennemű döntés tekintetében. A tanúsítvány alanynak bizonyítani kell a jogát egy adott név használatára. A nevek kiosztása érkezési sorrend alapján történik, azaz a később érkező nem kérheti egy már korábban kiosztott név újrakiosztását még akkor sem, ha a kívánt névvel kapcsolatos tanúsítvány már érvényét vesztette. 3.2. Kezdeti azonosítás 3.2.1. A magánkulcs birtoklásának bizonyítási módszere Az aláíró és az authentikációs tanúsítványhoz tartozó kulcspár generálását a Regisztrációs Adminisztrátor végzi az intelligens kártyán: a Kihelyezett Szolgáltató Alegység által alkalmazott ellenőrzési folyamatok biztosítják, hogy az aláíró tanúsítványhoz kapcsolódó kulcspár ténylegesen a chipkártyán került generálásra. 18/45
3.2.2. Szervezeti azonosság hitelesítése A Kihelyezett Szolgáltató Alegység által kibocsátott üzleti (munkatársi) tanúsítványban feltüntetésre kerül a felhasználó szervezet (másodlagos alany). Opcionálisan egyéb adatok is feltüntetésre kerülhetnek. Tekintettel arra, hogy az MNB csak saját munkavállalói részére bocsát ki tanúsítványokat, a szervezet Organization mezőben minden esetben az MNB kerül feltüntetésre. 3.2.3. Személyazonosság hitelesítése A Kihelyezett Szolgáltató Alegység a természetes személy azonosításában az egyes tanúsítványfajták esetében a 4.2.2.1 pont alatt leírt módon vesz részt. A személyazonosításra alkalmas hivatalos igazolványban szereplő fénykép alapján az alanynak egyértelműen felismerhetőnek kell lennie, a benne szereplő aláírásának meg kell egyeznie a szolgáltatási szerződésen tett aláírásával. Amennyiben kétség merül fel a fénykép vagy az aláírás megfeleltethetősége kapcsán, az MNB megtagadja a tanúsítványkiadási kérelem teljesítését. A Kihelyezett Szolgáltató Alegység továbbá megállapítja mindazon adatok hitelességét, melyeket a tanúsítványban feltüntet. 3.3. Azonosítás tanúsítvány kulcscseréje esetén Tanúsítvány kulcscseréjét a Kihelyezett Szolgáltató Alegység nem támogatja. Amennyiben kulcscsere válna szükségessé, abban az esetben új tanúsítvány-igénylést kell beadni, az ott meghatározott személyazonosítási szabályok szerint eljárva (lásd 4.2.2 pont). 3.4. Visszavonási kérelem A Kihelyezett Szolgáltató Alegység tanúsítvány visszavonási és felfüggesztési szolgáltatásokat egyaránt nyújt. Az erre vonatkozó kérelmek azonosítási és hitelesítési vonatkozásait a 0 pont tárgyalja. 4. MŰKÖDÉSRE VONATKOZÓ KÖVETELMÉNYEK 4.1. Tanúsítványigénylés 4.1.1. Igénylés feltételei A Kihelyezett Szolgáltató Alegységnél tanúsítványt igényelhet: - a munkavállaló felügyeletét ellátó vezető a munkavállaló részére feltüntetve a tanúsítványban, hogy meghatározott szervezethez, jelen esetben az MNB-hez tartozik. Kizárólag a jelen Utasításban megadott és hivatkozott fajtájú és profilú tanúsítványok igényelhetők. 4.2. Tanúsítványkérelem feldolgozása Végfelhasználói tanúsítványok kibocsátására a tanúsítványigénylési eljárás lefolytatását követően kerül sor. A tanúsítvány elkészítésére az új tanúsítványigénylés során a kérelemben megadott, a szolgáltatási szerződésben megerősített, ellenőrzött, illetve érvényesnek elismert adatok alapján kerül sor. A tanúsítványigénylés feltételeinek teljesülése esetén a Kihelyezett Szolgáltató Alegység feldolgozza a tanúsítványkérelmet a következőkben bemutatott eljárásrend szerint. 4.2.1. Általános regisztrációs szabályok A Kihelyezett Szolgáltató Alegység által végzett regisztrációs eljárásra vonatkozó alapelvek: az eljárást a Regisztrációs Alegység munkatársai végzik el, az eljárást minden új tanúsítványigénylés esetében teljes egészében le kell folytatni, 19/45
az eljárás részben automatizált, elektronikus rendszereken keresztül zajló, részben humán beavatkozással végzett folyamat, a megadott személyes és szervezeti adatok ellenőrzését a Kihelyezett Szolgáltató Alegység saját Regisztrációs Adminisztrátorai végzik. A tanúsítványkérelmet a regisztrációs adminisztrátorok felelősek kezelni, miután azonosították az alanyt a kapcsolódó tanúsítványfajta által meghatározott követelményeknek megfelelően. 4.2.1.1. Általános regisztrációs lépések az igénylő tanúsítványigénylési kérelmet juttat el a Kihelyezett Szolgáltató Alegységhez, melynek során elfogadja a tanúsítványkibocsátáshoz kapcsolódó feltéteket; személyesen bemutatja a személyazonosító dokumentumait az MNB regisztrációs munkatársai előtt, a Kihelyezett Szolgáltató Alegység fogadja a kérelmet, illetve ellenőrzi annak szabályosságát, a Kihelyezett Szolgáltató Alegység azonosítja az igénylő természetes személyt, és a szervezeti adatokat, a Regisztrációs Alegység elkészíti szolgáltatási szerződését, előkészíti a további regisztrációhoz szükséges dokumentumokat, a Regisztrációs Alegység - amennyiben a személy- és szervezetazonosítás rendben lezárult - átveszi az alannyal (és a másodlagos alannyal) kötött szolgáltatási szerződését, és összeveti az abban foglalt adatokat a személy- és szervezetazonosítás során ellenőrzött adatokkal, a Regisztrációs Alegység, ha a személy- és szervezetazonosítás rendben lezárult amennyiben értelmezett - egy intelligens kártyát allokál a felhasználó részére, és azt összerendeli a felhasználóval a Regisztrációs Adminisztrátor az MNB tanúsítványmenedzsment rendszerében rögzíti a tanúsítványigényt a Hitelesítő Alegység munkatársa ellenőrzést követően az összes pozitív ellenőrzés lezárása esetén az MNB tanúsítványmenedzsment rendszerében jóváhagyja a tanúsítványigényt; a Regisztrációs Adminisztrátor az MNB tanúsítványmenedzsment rendszerében jóváhagyott igény alapján a Szolgáltató rendszerében elvégzi a kulcsgenerálást, összeállítja a kibocsátandó tanúsítványt és a Szolgáltató rendszeréből kiadja a tanúsítványt, összerendeli a kiadott tanúsítványt a kulccsal (feltölti a kártyára) és azt a végfelhasználó rendelkezésére bocsátja a Regisztrációs vagy a Hitelesítő Alegység munkatársa értesíti a felhasználót, hogy átvehető a kártya/hordozóeszköz; a kártya/hordozóeszköz átvételének feltételeként a felhasználó aláírja a felhasználói nyilatkozatot és a Regisztrációs Adminisztrátor ismerteti vele a Felhasználói tájékoztató elérhetőségét. a Kihelyezett Szolgáltató Alegység dokumentálja a regisztrációs lépéseket, 4.2.1.2. A regisztráció során nyilvántartásba vett adatok köre az igénylő természetes személyazonosító adatai, illetve az azokat igazoló dokumentumok egyedi azonosító adatai vagy azonosító számai, 20/45
a munkavállaló munkaviszonyára vonatkozó, a tanúsítványigényléssel összefüggő adatok, a kártyahasználatról való tájékoztatás tudomásul vétele, az ügyfélnek a rá vonatkozó kötelezettségek elfogadása, a kérelmet elfogadó egység azonosítója, egyéb, a tanúsítványokhoz, valamint azok kibocsátásához kapcsolódó információ. A Kihelyezett Szolgáltató Alegység, illetve a Szolgáltató a nyilvántartásokat a jogszabályi előírásoknak megfelelően addig, ameddig a tanúsítványokra jogi eljárások során bizonyítási célból szükség lehet, megőrzi. 4.2.2. Regisztrációs eljárás 4.2.2.1. A regisztráció folyamata Eljárási lépés Üzleti (munkatársi) Tanúsítványfajta 1. Alany regisztrációja Munkavállaló adatainak (név, születési idő, e-mail cím, törzsszám, személyazonosításra alkalmas dokumentum sorszáma) elektronikus regisztrációja melynek során a Regisztrációs alegység a személyazonosító okmány érvényességét és az abban foglalt adatok valódiságát közhiteles nyilvántartásban ellenőrzi. A regisztráció támogatására az alany az elektronikusan regisztrált személyazonosító adatait alátámasztó dokumentumok eredeti példányát a regisztrációs alegység munkatársai előtt bemutatja. Személyazonosság ellenőrzésekor kizárólag személyazonosításra alkalmas dokumentum, azaz személyi igazolvány vagy útlevél vagy új típusú (bankkártya méretű) jogosítvány és a lakcímkártya fogadható el. 2. Másodlagos alany regisztrációja (kapcsolt regisztráció) Szervezet adatainak, jelen esetben az MNB (név, székhely, telefon, fax, e-mail cím) elektronikus regisztrációja. Az adatok karbantartása, naprakészségének biztosítása a Regisztrációs Alegység feladata. 3. Tanúsítvány kérelem jóváhagyása Végrehajtani jogosult: Hitelesítő Alegység 4. Kulcspár generálása eszközön és kérelem készítése Végrehajtani jogosult: Regisztrációs Alegység. 5. Tanúsítvány előállítása Végrehajtani jogosult: Regisztrációs Alegység 6. Tanúsítvány hordozó eszközre való letöltése és a tanúsítványtárban való közzététele 7. Alany személyazonosságának ellenőrzése Végrehajtani jogosult: Regisztrációs Alegység. Végrehajtani jogosult: Regisztrációs Alegység. 8. Tanúsítványigénylő lap aláírása és másolatának átadása az alanynak Végrehajtani jogosult: Regisztrációs Alegység. 9. Hordozóeszköz átadása az aláírónak Végrehajtani jogosult: Regisztrációs Alegység. 10. Dokumentáció archiválása Végrehajtani jogosult: Regisztrációs Alegység munkatársa. 4.2.3. Szolgáltatási szerződés (Tanúsítványigénylő lap) A természetes személy és a magánkulcs összetartozásának dokumentálására, illetve a kötelező tájékoztatásra az MNB szolgáltatási szerződést alkalmaz. A szerződés feltételeit az MNB szabályzatai, jelen Szolgáltatási Utasítás, illetve az aláíró elfogadó nyilatkozata tartalmazza. A szolgáltatási szerződést ezen dokumentumok együttese jelenti. A tanúsítvány kiadásának feltétele ezen szerződés létrejötte. 21/45
A Kihelyezett Szolgáltató Alegység közreműködésével kibocsátott tanúsítvány esetében az aláíráshitelesítést a Regisztrációs Alegység előtt kell elvégezni. A nyilatkozat, vagy melléklete legalább a következőket tartalmazza: a nyilvános kulcs lenyomata, a kiadandó tanúsítvány Subject mezője (alanyazonosító), az alany azonosításához szükséges egyéb adatok, a korlátozások, elfogadások, az MNB által adatlapon közölt adatok. A nyilvános kulcs lenyomat karaktereinek átírása: 0 - NULLA, 1 - EGY, 2 - KETTŐ, 3 - HÁROM, 4 - NÉGY, 5 - ÖT, 6 - HAT, 7 - HÉT, 8 - NYOLC, 9 - KILENC, A - ADÉL, B - BÉLA, C - CECIL, D - DÉNES, E - ELEMÉR és F FERENC Az elfogadó nyilatkozatot az igénylő természetes személy írja alá. 4.2.4. A tanúsítványkérelmek jóváhagyásának követelményei A Kihelyezett Szolgáltató Alegység csak akkor fogadja el a tanúsítványkérelmet, ha a következő feltételek teljesülnek: benyújtották a kérelmét a tanúsítvány kibocsátónak, a természetes személy azonos a kérelemben szereplő alannyal, a kérelemben szereplő adatok ellenőrizhetők és pontosak. 4.2.5. A tanúsítványok tartalma A tanúsítványok tartalmazzák az alábbiakat: a tanúsítvány azonosító kódját, az MNB megnevezését, benne székhelyének ország-azonosítóját, a tanúsítvány érvényességi idejének kezdetét és végét (amely nem lehet az érvényesség kezdete időpontnál korábbi): az érvényesség időtartama aláíró tanúsítványok esetében 2 év, titkosító tanúsítványok esetében 2 év; az alany nevét, azt az aláírás-ellenőrző adatot (nyilvános kulcs), amely az Alany által birtokolt aláírást készítő adat párjának (magánkulcs) felel meg, a tanúsítvány használhatósági körére vonatkozó esetleges korlátozásokat, az adott tanúsítvány kibocsátásában közreműködő, Kihelyezett Szolgáltató Alegység elektronikus aláírását. 4.2.6. A tanúsítványok jellemzői Az MNB által kibocsátott tanúsítványok megfelelnek a következő követelményeknek: a tanúsítványazonosító a kibocsátóra nézve egyedi, a tanúsítványban foglalt megkülönböztetett név (DN, Distinguished Name) egyedi, 22/45