Overitelj na CVI objavlja

POLITIKO SIGOV-CA
za kvalificirana digitalna potrdila za institucije javne uprave

Javni del notranjih pravil overitelja na
Centru Vlade RS za informatiko

Verzija 2

 

Verzija 2
	CPOID: 1.3.6.1.4.1.6105.1.1.2 in 1.3.6.1.4.1.6105.1.2.2 CPName: SIGOV-CA pričetek veljavnosti: 15. julij 2002	pdf 4.0
		word 2000

 

1. UVOD

(1) Politike overitelja kvalificiranih digitalnih potrdil na Centru Vlade Republike Slovenije za informatiko (CVI) predstavljajo celoten javni del notranjih pravil overitelja na CVI in določajo namen, delovanje in metodologijo upravljanja s kvalificiranimi digitalnimi potrdili, odgovornost overitelja na CVI ter zahteve, ki jih morajo izpolnjevati imetniki, tretje osebe, ki se zanašajo na kvalificirana digitalna potrdila, in drugi overitelji, ki želijo uporabljati storitve overitelja na CVI.

(2) Overitelj na CVI izdaja kvalificirana digitalna potrdila, za katera velja najvišja stopnja varovanja in načela t.i. močne enkripcije ter deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu (ZEPEP; Uradni list RS, št. 57/2000) in Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Uradni list RS, št. 77/2000 in 2/2001), evropskimi direktivami ter drugimi veljavnimi predpisi.

(3) Kvalificirana digitalna potrdila, ki jih izdaja overitelj na CVI, so namenjena:

(4) Overitelja na CVI predstavljata dva izdajatelja kvalificiranih digitalnih potrdil:

(5) Izdajatelja SIGOV-CA in SIGEN-CA sta mednarodno registrirana, medsebojno priznana, ter tehnološko in zakonsko enakovredna in enako veljavna.

(6) SIGOV-CA izdaja kvalificirana digitalna potrdila za institucije javne uprave:

(7) Osebna kvalificirana digitalna potrdila se lahko uporabljajo za:

(8) Spletna kvalificirana digitalna potrdila se lahko uporabljajo za:

(9) Javni del notranjih pravil overitelja na CVI je določen z naslednjimi politikami:

(10) V primeru kvalificiranih digitalnih potrdil za institucije javne uprave ter za pravne in fizične osebe, registrirane za opravljanje dejavnosti, ima glede preklica kvalificiranih digitalnih potrdil predstojnik institucije javne uprave oz. odgovorna oseba pravne in fizične osebe, registrirane za opravljanje dejavnosti, enake pravice kot ostali imetniki kvalificiranih digitalnih potrdil iz iste institucije oz. pravne in fizične osebe, registrirane za opravljanje dejavnosti.

(11) Overitelj na CVI si pridržuje pravico do spremembe te politike in nadgradnje infrastrukture brez predhodnega obveščanja imetnikov kvalificiranih digitalnih potrdil. Veljavna kvalificirana digitalna potrdila pri tem ostanejo v veljavi do konca preteka veljavnosti po veljavni politiki ob njihovi izdaji oz. podaljšanju potrdil. Nova verzija oz. spremembe politike overitelja na CVI se sedem (7) dni pred veljavo predhodno objavi na spletnih straneh overitelja na CVI pod novo identifikacijsko številko (CPOID) in označenim datumom začetka njene veljavnosti. Vsa kvalificirana digitalna potrdila izdana oz. podaljšana po tem datumu se obravnavajo po novi politiki.

(12) Overitelj na CVI se lahko povezuje v mrežo overiteljev na horizontalni ali vertikalni ravni, to je ustanavlja oz. overja podrejene ali priznava enakovredne overitelje ter se povezuje v hierarhično globalno strukturo overiteljev.

(13) Overitelj na CVI lahko overja in javno objavlja politike podrejenih overiteljev v primeru, da se namen uporabe kvalificiranih digitalnih potrdil razlikujejo od namena uporabe, definirane v tej politiki.

 

2. SPLOŠNE DOLOČBE

(1) Pričujoča politika določa delovanje overitelja na CVI za kvalificirana digitalna potrdila SIGOV-CA za institucije javne uprave, ki so v informacijsko-telekomunikacijskem omrežju državnih organov:

(2) Posamezni izrazi imajo v nadaljevanju te politike naslednji pomen:

(3) Ta politika določa upravljanje (rezervacijo, izdajanje in overjanje, preklicevanje, regeneriranje ključev, odkrivanje kopije zasebnega ključa za dešifriranje, hranjenje in objavljanje) potrdil za imetnike potrdil institucij javne uprave, ki so lahko:

(4) Predstojnik s podpisom zahtevka za pridobitev potrdila jamči za podatke o instituciji in istovetnosti bodočih imetnikov in jih pooblašča za uporabo potrdil v imenu opravljanja nalog za institucijo.

(5) V primeru, da CVI nima zagotovljenih sredstev za institucijo, se medsebojna razmerja izvajajo tudi na podlagi pisnega dogovora med institucijo in overiteljem na CVI.

(6) Za potrdila, izdana na podlagi te politike, se zahteva uporaba sredstev za varno digitalno podpisovanje oz.varno hranjenje zasebnih ključev in potrdil.

(7) Stroške potrebne strojne ali programske opreme, ki jo zahteva oz. priporoča SIGOV-CA za varno shranjevanje in uporabo potrdil, krije imetnik potrdila oz. njegova institucija.

(8) Stroški upravljanja s potrdili se obračunavajo instituciji javne uprave po objavljenem ceniku.

2.1. Zavarovanje odgovornosti overitelja na CVI

CVI ima glede delovanja overitelja na CVI ustrezno zavarovano svojo odgovornost po ZEPEP ter Uredbi o pogojih za elektronsko poslovanje in elektronsko podpisovanje.

2.2. Zahteve za podrejene overitelje

(1) Medsebojna razmerja med overiteljem na CVI in podrejenim overiteljem se izvaja na podlagi pisne pogodbe.

(2) Overitelj na CVI zagotavlja, da podrejeni overitelji izpolnjujejo ustrezno raven varnostnih zahtev. Overitelj na CVI redno pregleduje izpolnjevanje varnostnih zahtev in postopkov pri upravljanju s potrdili podrejenih overiteljev.

2.3. Lastnosti medsebojnega priznavanja

(1) Overitelj na CVI se lahko povezuje in priznava z domačimi in tujimi overitelji, vendar ni dolžan priznati drugih overiteljev tudi, če ima drugi overitelj status akreditiranega overitelja ali overitelja kvalificiranih digitalnih potrdil. Medsebojno priznavanje se izvaja na podlagi pisne pogodbe.

(2) Overitelj na CVI zagotavlja, da bo izvajal medsebojno priznavanje izključno po podpisu pisne pogodbe z drugimi overitelji, ki pa morajo izpolnjevati raven varnostnih zahtev, ki jih predpiše overitelj CVI. Pooblaščene osebe overitelja na CVI pregledujejo notranja pravila drugega overitelja ter njegovo izpolnjevanje varnostnih zahtev.

(3) Stroške potrebne infrastrukture, ki jo zahteva overitelj na CVI za medsebojno priznavanje, krije drugi overitelj.

3. RAZPOZNAVNI PODATKI SIGOV-CA

3.1. Identiteta overitelja na CVI

Naslov: Center Vlade Republike Slovenije za informatikoLangusova 41000 LjubljanaSlovenija
Telefon: (+386) 01 4788 600
Fax: (+386) 01 4788 649
URL: http://www.gov.si/ca

3.2. Identiteta izdajatelja SIGOV-CA

 

Enolično ime	ou=SIGOV-CA, o=state-institutions, c=si
Naslov:	SIGOV-CA
	Center Vlade Republike Slovenije za informatiko
	Langusova 4
	1000 Ljubljana
	Slovenija
	Tel.: (+386) 01 4788 600
	Fax: (+386) 01 4788 649
	E-pošta: SIGOV-CA@GOV.SI
Dežurna številka za preklice:	Tel.: (+386) 01 4788 777

 

SIGOV-CA je ob začetku svojega produkcijskega delovanja generiral svoje lastno potrdilo, ki je namenjeno podpisovanju potrdil za druge imetnike oz. overitelje, podpisovanju registra preklicanih potrdil oz. preverjanju podpisa SIGOV-CA.

Potrdilo SIGOV-CA vsebuje naslednje podatke:

Identifikacijska oznaka:	3A5C 701A
Overitelj potrdila:	SIGOV-CA
Imetnik potrdila:	SIGOV-CA
Veljavnost potrdila:	od 10. januarja 2001 do 10. januarja 2021
Dolžina ključa	2048 bitov
Odtis potrdila (MD5):	739D D35F C63C 95FE C6ED 89E5 8208 DD89
Odtis potrdila (SHA-1):	7FB9 E2C9 95C9 7A93 9F9E 81A0 7AEA 9B4D 7046 3496

 

3.3. Identiteta potrdil oz. javnega imenik potrdil

(1) Potrdila so shranjena v strukturi javnega imenika na strežniku x500.gov.si (dostopna po protokolu LDAP).

(2) Potrdila so dostopna tudi preko spletne strani SIGOV-CA po protokolu HTTPS:

https://www.sigov-ca.gov.si/cda-cgi/clientcgi?action=directorySearch.

Opis javnega imenika in potrdil je tudi v pogl. 4.1.5 oz. 4.2.

 

3.4. Identiteta registra preklicanih potrdil

(1) Register preklicanih potrdil se nahaja v strukturi javnega imenika na strežniku x500.gov.si v veji (dostopen po protokolu LDAP):

c=si, o=state-institutions, ou=sigov-ca, cn=CRLn .

(2) Celotni register preklicanih potrdil (angl. Combined RevocationList) se nahaja v veji:

c=si, o=state-institutions, ou=sigov-ca (v polju "CertificationRevocationList").

Celotni register preklicanih potrdil je dostopen tudi po protokolu HTTP:

http://www.sigov-ca.gov.si/crl/sigov-ca.crl.

Opis registra preklicanih potrdil je v pogl. 4.1.6.

4. INFRASTRUKTURA OVERITELJA NA CVI

4.1. Osnovne lastnosti overitelja na CVI

4.1.1. Varnost in zanesljivost infrastrukture overitelja na CVI

(1) Oprema overitelja na CVI je postavljena v posebnih, ločenih prostorih v okviru infrastrukture CVI, deloma pa tudi izven le-te. Zavarovana je z večnivojskim sistemom fizičnega in elektronskega varovanja. Stopnja varovanja infrastrukture overitelja na CVI ustreza nivoju varovanja po standardu FIPS 140-1 level 3.

(2) Varnostne kopije programske opreme in šifriranih baz overitelja na CVI se redno obnavljajo in shranjujejo v dveh ločenih in fizično varovanih prostorih. Redno se preverjajo računalniški dnevniki na vseh računalniško-komunikacijskih napravah s strani članov skupine overitelja na CVI, izvajanje postopkov pa s strani nadzorne skupine overitelja na CVI.

(3) Opis infrastrukture overitelja na CVI, operativno delovanje in postopki upravljanja z infrastrukturo ter naloge nadzorne skupine overitelja na CVI so določeni z Interno politiko overitelja na CVI, ki predstavlja zaupni del notranjih pravil overitelja na CVI.

4.1.2. Šifrirni algoritmi, formati podatkov in protokoli infrastrukture overitelja na CVI

(1) Overitelj na CVI uporablja:

(2) Celoten nabor algoritmov, formatov podatkov in protokolov je na razpolago pri overitelju na CVI.

4.1.3. Osebje overitelja na CVI

(1) Operativno, organizacijsko in strokovno pravilno delovanje overitelja na CVI vodi vodja Sektorja za upravljanje digitalnih potrdil na CVI in je organizacijsko direktno podrejen direktorju CVI.

(2) Med pooblaščene osebe overitelja na CVI spadajo člani overitelja na CVI, prijavne službe in nadzorne skupine, ki jo vodi vodja Službe za varovanje in zaščito na CVI.

(3) Člani overitelja na CVI so razporejeni v štiri organizacijske skupine, ki pokrivajo naslednja vsebinska področja:

Organizacijska skupina	Vloga	Osnovne naloge	Število oseb
Upravljanje z informacijskim sistemom	Upravljalec sistema	Strategija delovanja overitelja na CVI Določevanje prvega varnostnega inženirjaOperativno vodenje overitelja na CVI	2
Upravljanje s kvalificiranimi potrdili	Prvi varnostni inženir	Določevanje in izvajanje pravil varnega delovanja sistema za podeljevanje potrdil Določevanje drugih varnostnih inženirjev	1
	Drugi varnostni inženirji	Določevanje in izvajanje pravil varnega delovanja sistema za podeljevanje potrdil	2
	Administratorji potrdil	Upravljanje s potrdili	2
Varovanje in kontrola	Varnostni administrator	Upravljanje s telekomunikacijami (sistem za preprečevanje in odkrivanje vdorov, požarna pregrada, ...) Vzdrževanje varnostnih kopij	1
Pravno- administrativno	Pravnik		1

(4) Navedeno število oseb predstavlja minimalno število. Vloge posameznih organizacijskih skupin so določene z Interno politiko overitelja na CVI.

4.1.4. Vloga in pomen prijavnih služb SIGOV-CA

(1) Naloge prijavnih služb so:

(2) Institucije, ki opravljajo naloge prijavnih služb, pooblasti overitelj na CVI. Izpolnjevati morajo pogoje za opravljanje nalog prijavnih služb overitelja na CVI in delovati v skladu z veljavnimi zakoni in predpisi.

(3) Institucija za svoje zaposlene osebe opravlja del nalog prijavnih služb po določilih SIGOV-CA, in sicer predstojnik institucije, kjer je bodoči imetnik potrdila zaposlen, jamči za istovetnost bodočega imetnika potrdila, ki jo je preveril v skladu z 31. členom in drugimi določili ZEPEP.

(4) Seznam prijavnih služb je objavljen na spletnih straneh SIGOV-CA.

4.1.5. Javni imenik potrdil

(1) Vsa potrdila so objavljena v javnem imeniku, ki je v skrbništvu overitelja na CVI (glej pogl. 3.3).

(2) Javni imenik je stalno dostopen:

(3) V javnem imeniku je tudi register preklicanih potrdil.

4.1.6. Register preklicanih potrdil

(1) Register preklicanih potrdil je stalno dostopen v javnem imeniku potrdil (glej pogl. 3.4):

(2) Register preklicanih potrdil se osvežuje:

(3) Register preklicanih potrdil poleg ostalih podatkov v skladu s priporočili, navedenimi v pogl. 4.1.2, vsebuje:

4.2. Osnovne lastnosti potrdil

(2) Potrdilo se izda na osnovi odobrenega zahtevka za pridobitev in veljavne pogodbe (glej pogl. 5.1), v primeru, da CVI nima zagotovljenih sredstev za institucijo pa tudi pisnega dogovora med institucijo in overiteljem na CVI (podrobnejši potek izdaje glede na vrsto potrdila je podan v pogl. 4.2.1 in 4.2.2).

(3) SIGOV-CA poleg podatkov, ki so vključeni v potrdilo, hrani ostale potrebne podatke o imetniku in instituciji za namen elektronskega poslovanja v skladu z veljavnimi predpisi.

(4) V potrdilu so navedeni podatki o imetniku in izdajatelju skladno s standardi iz pogl. 4.1.2. Osnovni podatki v potrdilu so navedeni spodaj, ostali podatki pa so vsebovani glede na vrsto potrdilo (glej pogl. od 4.2.1 do 4.2.3):

Podatek	Vrednost oz. pomen
Verzja X.509, angl. Version	3
Identifikacijska oznaka, angl. Serial Number	<enolična interna številka potrdila>
Algoritem za podpis potrdila, angl. Signature Algorithm	sha1WithRSAEncryption
Ime izdajatelja, angl. Issuer	c=si, o=state-institutions, ou=sigov-ca
Pričetek in konec veljavnosti potrdila, angl. Validity	Not Before: <pričetek veljavnosti po GMT> Not After: <konec veljavnosti po GMT>
Imetnik, angl. Subject	<razločevalno ime imetnika, ki vključuje naziv imetnika, serijsko številko potrdila, v primeru osebnih potrdil tudi institucijo oz. področje, glej pogl. 4.2.3>
Alternativno ime, angl. Subject Alternative Name	<elektronski naslov imetnika oz. splošnega naziva oz. strežnika>
Imetnikov javni ključ, ki pripada ustreznemu paru ključev, angl. RSA Public Key (1024 bit)	<javni ključ, šifriran z algoritmom RSA, dolžine 1024 bitov>
Identiteta imetnikovega ključa, angl. Subject Key Identifier	<odtis imetnikovega javnega ključa>
Identiteta registra preklicanih potrdil, angl. CRL Distribution Points	c=si, o=state-institutions, ou=sigov-ca, cn=CRL<zaporedna številka registra (glej pogl. 3.4)> Url: ldap://x500.gov.si/ou=sigov-ca,o=state- institutions,c=si?certificateRevocationList?base Url: http://www.sigov-ca.gov.si/crl/sigov-ca.crl
Podpis izdajatelja SIGOV-CA	<podpis potrdila s strani izdajatelja SIGOV-CA>
Identiteta ključa izdajtelja SIGOV-CA, angl. Authority Key Identifier (SHA1)	1EF8 D453 6BB3 8306 E904 0657 02F9 A5BF C658 3C72

(5) Pod istimi podatki o nazivu, podatki o instituciji, elektronskim naslovom ima imetnik lahko eno samo veljavno istovrstno potrdilo.

(6) Imetnik potrdila je nedvoumno določen z razločevalnim imenom.

4.2.1. Lastnosti osebnega potrdila

(1) Vsak imetnik osebnega potrdila ima dva ločena para ključev - za digitalno podpisovanje/overjanje in za šifriranje/dešifriranje podatkov. Oba para imata en zasebni in en javni ključ.

Par ključev za digitalno podpisovanje/overjanje sestavlja:

Par ključev za šifriranje/dešifriranje sestavlja:

(2) Par ključev za podpisovanje/overjanje se tvori z imetnikovo programsko opremo. SIGOV-CA nikoli ne hrani in tudi nima dostopa do ključa za podpisovanje. Ključ za overjanje podpisa se pošlje SIGOV-CA, ki izda osebno potrdilo za verifikacijo podpisa, katerega sestavni del je ključ za overjanje podpisa. Osebno potrdilo za verifikacijo podpisa se shrani pri imetniku.

Par ključev za šifriranje/dešifriranje se tvori na strani overitelja. Ključ za dešifriranje hrani imetnik. Zaradi možnega dostopa (dešifriranja) do pomembnih zašifriranih podatkov, če ključ za dešifriranje iz kakršnihkoli vzrokov ni več dostopen, se ta ključ po posebnem režimu, ki je določen z Interno politiko overitelja na CVI, varno hrani tudi v arhivu SIGOV-CA. SIGOV-CA izda osebno potrdilo za šifriranje, katerega sestavni del je ključ za šifriranje. Osebno potrdilo za šifriranje se objavi v javnem imeniku potrdil.

(3) Veljavnost osebnega potrdila je največ tri (3) leta od prevzema. Podaljšanje veljavnih potrdil in generiranje novih parov ključev se izvaja avtomatsko pred iztekom roka, določenem za veljavnost potrdila.

Veljavnost ključa za overjanje digitalnega podpisa je največ pet (5) let od prevzema. Nov ključ za overjanje podpisa se generira avtomatsko pred iztekom roka, določenem za veljavnost potrdila.

(4) Poleg osnovnih podatkov iz pogl. 4.2 osebno potrdilo za šifriranje, objavljeno v javnem imeniku, vključuje še podatke, navedene v spodnji tabeli.

Podatek	Vrednost oz. pomen (osebno-za šifriranje)
Namen uporabe, angl. Key Usage	Key Encipherment
Pričetek in konec veljavnosti ključa za dešifriranje, angl. Private Key Usage Period	Not Before: <pričetek veljavnosti po GMT> Not After: <konec veljavnosti po GMT>
Politika, pod katero je bilo izdano potrdilo (OID), in iz katere je razvidno tudi, da gre za kvalificirano potrdilo. Spletni naslov za dostop do politike, angl. Certificate Policies	Policy: 1.3.6.1.4.1.6105.1.2.2 CPS: http://www.gov.si/ca/cps

 

(5) Poleg osnovnih podatkov iz pogl. 4.2 osebno potrdilo za verifikacijo podpisa, ki ga hrani imetnik, vključuje še podatke, navedene v spodnji tabeli.

 

Podatek	Vrednost oz. pomen (osebno - za verifikacijo podpisa)
Namen uporabe, angl. Key Usage	Digital Signature
Pričetek in konec veljavnosti ključa za podpisovanje, angl. Private Key Usage Period	Not Before: <pričetek veljavnosti po GMT> Not After: <konec veljavnosti po GMT>
Politika, pod katero je bilo izdano potrdilo (OID), in iz katere je razvidno tudi, da gre za kvalificirano potrdilo. Spletni naslov za dostop do politike, angl. Certificate Policies	Policy: 1.3.6.1.4.1.6105.1.2.2 CPS: http://www.gov.si/ca/cps

(6) SIGOV-CA lahko izda tudi osebno potrdilo za strežnik. Tako potrdilo lahko vključuje tudi druge, tehnično pogojene podatke.

4.2.2. Lastnosti spletnega potrdila

(1) Vsak imetnik spletnega potrdila ima en par ključev, ki ga sestavlja zasebni in javni ključ. Par ključev se tvori z imetnikovo programsko opremo. Zasebni ključ ima samo imetnik. SIGOV-CA nikoli ne hrani in tudi nima dostopa do imetnikovega zasebnega ključa. Javni ključ se pošlje SIGOV-CA, ki izda in objavi spletno potrdilo z javnim ključem, kot sestavnim delom potrdila.

(2) Veljavnost spletnih potrdil je največ pet (5) let od prevzema.

(3) Poleg osnovnih podatkov iz pogl. 4.2 vključuje spletno potrdilo še podatke, navedene v spodnji tabeli.

Podatek	Vrednost (spletno)	Vrednost (spletno-strežnik)
Namen uporabe, angl. Key Usage	Digital Signature, Key Encipherment
Pričetek in konec veljavnosti zasebnega ključa, angl. Private Key Usage Period	Not Before: <pričetek veljavnosti po GMT> Not After: <konec veljavnosti po GMT>
Vrsta potrdila, angl. Netscape Cert Type	SSLClient, S/MIME	SSL Server
Politike, pod katero je bilo izdano potrdilo (OID), in iz katere je razvidno tudi, da gre za kvalificirano potrdilo, angl. Certificate Policies	Policy: 1.3.6.1.4.1.6105.1.1.2 CPS: http://www.gov.si/ca/cps

(4) SIGOV-CA lahko izda tudi spletno potrdilo za podpis kode. Tako potrdilo vključuje tudi druge, tehnično pogojene podatke.

4.2.3. Lastnosti razločevalnega imena

(1) Razločevalno ime vsebuje osnovne podatke o imetniku oz. nazivu, lahko tudi o instituciji. Razločevalno ime se glede na vrsto potrdila tvori po naslednjih pravilih :

Vrsta potrdila	Razločevalno ime
osebna potrdila za zaposlene in splošne nazive institucij oz. organizacijske enote institucij	c=si, o=state-institutions, ou=certificates, ou=<kratko ime institucije>, cn=<naziv>, sn=<serijska številka>
spletna potrdila za zaposlene in splošne nazive institucij oz. organizacijske enote institucij	c=si, o=state-institutions, ou=web-certificates, cn=<naziv>, sn=<serijska številka>
spletna potrdila za strežnike	c=si, o=state-institutions, ou=web-certificates, ou=servers, cn=<ime DNS>, sn=<serijska številka>

(2) Kratko ime institucije, ki je po spodaj navedenih pravilih vključeno v razločevalno ime, mora izpolnjevati naslednje zahteve:

(3) SIGOV-CA si pridržuje pravico za zavrnitev kratkega imena, če ugotovi:

(4) Pod nazivom, ki je po spodaj navedenih pravilih vključeno v razločevalno ime, je v primeru potrdila:

(5) V primeru potrdila za splošni naziv oz. organizacijske enote institucije si SIGOV-CA pridržuje pravico za zavrnitev naziva, če ugotovi:

(6) V primeru potrdila za strežnik mora biti navedeno ime strežnika DNS ustrezno registrirano.

(7) Podatki o imetniku oz. nazivu in instituciji v razločevalnem imenu vsebujejo črke angleške abecede. Drugi znaki se pretvorijo po pravilih iz spodnje tabele.

Znak	Pretvorba
č š ž ü ö O ß n ŕ	c s z ue oe oe ss n rz

(8) Serijsko številko, ki je vključeno v razločevalno ime, dodeli SIGOV-CA.

(9) Serijska številka je 13-mestno število in enolično določa potrdilo. Spodnja tabela natančneje določa pomen in vrednosti posameznih mest serijskega števila:

Serijska številka	Pomen	Vrednost
1. mesto	oznaka za potrdilo SIGOV-CA	1
2. - 8. mesto	enolično število imetnika	/
9. - 10. mesto	osebna potrdila	zaposleni 20 splošni naziv 22 strežnik 24
	spletna potrdila	zaposleni 16 splošni naziv 18 strežnik 10 podpis kode 19
11. - 12. mesto	zaporedna številka istovrstnega potrdila	/
13. mesto	kontrolna številka	/

4.2.4. Zahteve za elektronski naslov

(2) SIGOV-CA si pridržuje pravico za zavrnitev zahtevka za pridobitev potrdila, če ugotovi, da je elektronski naslov:

 

5. UPRAVLJANJE POTRDIL

5.1. Pridobitev potrdila

(1) Za pridobitev potrdila morata bodoči imetnik in predstojnik pravilno izpolniti in podpisati zahtevek za pridobitev potrdila.

(2) Zahtevki za pridobitev so dostopni na prijavnih službah in na spletnih straneh SIGOV-CA.

(3) Zahtevek za pridobitev potrdila odobrijo oz. v primeru nepravilnih ali pomanjkljivih podatkov ali neizpolnjevanja obveznosti iz dogovora s strani institucije zavrnejo pooblaščene osebe overitelja na CVI. O odobritvi oz. zavrnitvi je bodoči imetnik obveščen. Ob odobritvi predstojnik in bodoči imetnik prejmeta vso potrebno dokumentacijo v skladu z ZEPEP, s katero sta bila seznanjena že pred podpisom zahtevka za pridobitev potrdila.

(4) Potrdila se izdajajo izključno na infrastrukturi overitelja na CVI.

(5) SIGOV-CA na podlagi odobrenega zahtevka (v primeru, da CVI nima zagotovljenih sredstev za institucijo tudi dogovora med institucijo in overiteljem na CVI) opravi rezervacijo potrdila najkasneje v desetih (10) dneh od odobritve zahtevka.

(6) SIGOV-CA preda bodočemu imetniku potrdila referenčno številko in avtorizacijsko kodo osebno ali pa ju posreduje po dveh ločenih poteh: referenčno številko po elektronski pošti, avtorizacijsko kodo pa po priporočeni pošti. Po prevzemu potrdila postaneta referenčna številka in avtorizacijska koda neuporabni.

(7) Bodoči imetnik potrdila mora po prejemu referenčne številke in avtorizacijske kode potrdilo prevzeti v šestdesetih (60) dneh od rezervacije potrdila, sicer SIGOV-CA rezervacijo potrdila prekliče.

(8) Imetnik potrdila mora po prevzemu potrdila preveriti podatke v potrdilu in ob morebitnih napakah ali problemih takoj obvestiti SIGOV-CA oziroma zahtevati preklic potrdila.

5.2. Preklic potrdila

(1) Overitelj na CVI prekliče potrdilo na zahtevo predstojnika, imetnika, na zahtevo pristojnega sodišča, sodnika za prekrške ali upravnega organa.

(2) O datumu ter času preklica, izdajatelju zahtevka za preklic ter vzrokih za preklic mora biti vedno obveščen imetnik in predstojnik.

(3) Preklic potrdila morata imetnik ali predstojnik institucije zahtevati v primeru:

(4) Overitelj na CVI prekliče potrdilo tudi brez zahteve imetnika ali predstojnika institucije, takoj ko izve:

(5) Overitelj na CVI v primerih iz prejšnjega odstavka prekliče potrdilo brez predhodnega obvestila imetniku potrdila ali predstojniku institucije.

(6) Preklic lahko imetnik zahteva osebno v rednem delovnem času, elektronsko in telefonsko pa 24 ur na dan vse dni v letu.

(7) Preklic lahko predstojnik institucije zahteva osebno v rednem delovnem času, elektronsko pa 24 ur na dan vse dni v letu.

(8) Če se preklic opravi osebno, je potrebno izpolniti ustrezen zahtevek za preklic potrdila ter ga izročiti na prijavno službo.

(9) Če se preklic opravi elektronsko, morata imetnik ali predstojnik institucije na SIGOV-CA poslati zahtevek za preklic, ki mora biti digitalno podpisan z zaupanja vrednim potrdilom. Ob poslanem zahtevku za preklic mora izdajatelj zahtevka za preklic hkrati o tem telefonsko obvestiti SIGOV-CA na dežurno telefonsko številko za preklice.

(10) Če se preklic zahteva s strani imetnika digitalnega potrdila samo telefonsko na dežurno telefonsko številko za preklice, mora imetnik ob tem navesti geslo, ki ga je v ustreznem zahtevku za pridobitev potrdila imetnik podal kot geslo za preklic potrdila oz. ga je drugače varno posredoval SIGOV-CA. Brez gesla za preklic imetnik ne more telefonsko preklicati potrdila.

(11) Overitelj na CVI po prejemu veljavne zahteve za preklic najkasneje v štirih (4) urah prekliče potrdilo. V tem času je preklicano potrdilo dodano v register preklicanih potrdil in brisano iz javnega imenika potrdil.

5.3. Podaljševanje veljavnosti potrdil - velja za osebna potrdila

Generiranje novih parov ključev in podaljševanje veljavnosti osebnega potrdila se izvaja avtomatsko ob prvi uporabi potrdila imetnika z neposrednim dostop do infrastrukture SIGOV-CA v obdobju stotih (100) dni pred zadnjim dnem veljavnosti potrdila. Za podaljšana potrdila velja Politika SIGOV-CA, veljavna ob datumu generiranja novih parov ključev.

5.4. Regeneriranje ključev - velja za osebna potrdila

(1) Regeneriranje ključev za osebno potrdilo se izvede, če imetnik potrdila:

(2) Overitelj na CVI si glede na varnostne okoliščine dovoljuje samostojno odločitev med:

(3) Regeneriranje ključev za potrdila se izvede na osnovi izpolnjenega zahtevka za regeneriranje ključev s strani imetnika potrdila, ki ga odda na prijavni službi SIGOV-CA. Podobno kot pri izdaji novega potrdila dobi imetnik referenčno številko in avtorizacijsko kodo za dostop do para ključev za šifriranje in generiranje novega para ključev za podpisovanje. Regeneracijo mora opraviti v šestdesetih (60) dneh.

5.5. Odkrivanje kopije ključev za dešifriranje - velja za osebna potrdila

(1) Overitelj na CVI odkrije kopijo ključev za dešifriranje le v izjemnih primerih, ko le-ti iz kakršnegakoli razloga niso dostopni:

(2) Overitelj na CVI si pridružuje pravico, da ne odobri odkritja kopije ključev za dešifriranje, če gre za potrdilo, ki je bilo preklicano zaradi napačnih podatkov v potrdilu.

(3) Overitelj na CVI pred odkrivanjem kopije ključev za dešifriranje:

5.6. Morebitno prenehanje delovanja overitelja na CVI oz. izdajatelja SIGOV-CA

Če bo overitelj na CVI prenehal z opravljanjem svoje dejavnosti ali izdajatelj SIGOV-CA prenehal z izdajanjem potrdil, bo overitelj na CVI ukrepal v skladu z ZEPEP.

 

6. OBVEZNOSTI IN ODGOVORNOST

6.1. Obveznosti in odgovornost imetnika potrdila oziroma institucije

(1) Imetnik oziroma bodoči imetnik potrdila je dolžan:

(2) Imetnik oziroma bodoči imetnik potrdila je glede varovanja zasebnih ključev dolžan tudi:

(3) Imetnik oziroma bodoči imetnik potrdila je glede uporabe potrdila dolžan tudi:

(4) Institucija je dolžna:

(5) Institucija odgovarja:

 

6.2. Obveznosti in odgovornost overitelja na CVI

(1) Overitelj na CVI je dolžan: