Sprememba z amandmajem št. 1/3.0:

Izdajatelj SIGOV-CA bodočemu imetniku potrdila avtorizacijske kode ne posreduje več po priporočeni pošti temveč z navadno poštno pošiljko.

SPREMEMBE Z VERZIJO 3.0 GLEDE NA PREJŠNJO POLITIKO

• uporaba novega naziva za overitelja na Centru Vlade za informatiko, po novem je to "Overitelj na Ministrstvu za javno upravo";
• osebna kvalificirana digitalna potrdila se po novem imenujejo "posebna kvalificirana digitalna potrdila";
• imetniki potrdila SIGOV-CA so omejeni na državne organe, in sicer neposredne proračunske porabnike;
• izdaja se tudi kvalificirana digitalna potrdila za sisteme za sprotno preverjanje veljavnosti digitalnih potrdil (OCSP);
• preklic je po novem mogoč samo v poslovnem času, razen v nujnih primerih;
• struktura dokumenta je v skladu s priporočili RFC 3647.

POVZETEK

Politike overitelja kvalificiranih digitalnih potrdil in varnih časovnih žigov (v nadaljevanju overitelj) na Ministrstvu za javno upravo (v nadaljevanju MJU) predstavljajo celoten javni del notranjih pravil overitelja na MJU in določajo namen, delovanje in metodologijo upravljanja s kvalificiranimi digitalnimi potrdili, dodeljevanje časovnih žigov, odgovornost overitelja na MJU ter zahteve, ki jih morajo izpolnjevati uporabniki in tretje osebe, ki uporabljajo in se zanašajo na kvalificirana digitalna potrdila in na varne časovne žige, in drugi overitelji, ki želijo uporabljati storitve overitelja na MJU.

Overitelj na MJU izdaja kvalificirana digitalna potrdila in varne časovne žige, za katera velja najvišja stopnja varovanja ter deluje v skladu z Zakonom o elektronskem poslovanju in elektronskem podpisu (ZEPEP; Uradni list RS, št. 57/2000, 25/2004 in 98/2004) in Uredbo o pogojih za elektronsko poslovanje in elektronsko podpisovanje (Uradni list RS, št. 77/2000 in 2/2001), evropskimi direktivami ter drugimi veljavnimi predpisi in priporočili.

Kvalificirana digitalna potrdila, ki jih izdaja overitelj na MJU, so namenjena:

• za upravljanje, dostop in izmenjavo podatkov, kjer se predvideva uporaba digitalnih potrdil overitelja na MJU,
• za varno elektronsko komuniciranje med imetniki kvalificiranih digitalnih potrdil in
• za storitve oz. aplikacije, za katere se zahteva uporaba digitalnih potrdil overitelja na MJU.

Izdajatelj kvalificiranih digitalnih potrdil SIGOV-CA (angl. Slovenian Governmental Certification Authority), http://www.sigov-ca.gov.si, izdaja le-te za državne organe in druge organe, ki po veljavni zakonodaji veljajo za neposredne uporabnike državnega proračuna, in deluje v okviru overitelja na MJU, http://www.ca.gov.si.

Izdajatelj SIGOV-CA je registriran v skladu z veljavno zakonodajo in medsebojno priznan z izdajateljem kvalificiranih digitalnih potrdil za poslovne subjekte (t.j. pravne in fizične osebe, registrirane za opravljanje dejavnosti) SIGEN-CA (angl. Slovenian General Certification Authority), http://www.sigen-ca.si.

Pričujoči dokument določa politike izdajatelja SIGOV-CA za več vrst kvalificiranih digitalnih potrdil, ki izpolnjujejo najvišje varnostne zahteve. Na podlagi tega dokumenta SIGOV-CA izdaja posebna in spletna kvalificirana digitalna potrdila po naslednjih politikah: CPOID: 1.3.6.1.4.1.6105.1.1.4, CPOID: 1.3.6.1.4.1.6105.1.2.4, CPOID: 1.3.6.1.4.1.6105.1.3.2, CPOID: 1.3.6.1.4.1.6105.1.4.2, CPOID: 1.3.6.1.4.1.6105.1.5.2 ter CPOID: 1.3.6.1.4.1.6105.1.6.1.

Pričujoči dokument nadomešča prejšnje objavljene politike SIGOV-CA. Vsa kvalificirana digitalna potrdila, izdana po datumu veljavnosti nove politike, se obravnavajo po novi politiki, za vsa ostala pa velja, da se obravnavajo po novi politiki glede tistih določil, ki lahko smiselno nadomestijo oz. dopolnijo določila iz politike, po kateri je bilo kvalificirano digitalno potrdilo izdano (na primer postopek za preklic velja po novi politiki).

Spremembe pričujočega dokumenta so sledeče:

• Overitelj na Centru Vlade za informatiko, v okviru katerega je pričel delovati izdajatelj SIGOV-CA, se po novem imenuje Overitelj na Ministrstvu za javno upravo (t.j. overitelj na MJU), saj je Center Vlade za informatiko v skladu z Zakonom o državni upravi (Uradni list RS, št. 52/2002, 56/2003, 61/2004, 123/2004; ZDU-1) in Sklepom o spremembah Sklepa o organizaciji in delovnem področju Centra Vlade Republike Slovenije za informatiko (Uradni list RS, št. 132/2004) prešel pod okrilje novoustanovljenega Ministrstva za javno upravo.
• Nova politika uporablja novo poimenovanje osebnih kvalificiranih digitalnih potrdil, ki jih izdaja overitelj na MJU. Po novem so to posebna kvalificirana digitalna potrdila.
• Z novo politiko so uporabniki kvalificiranih digitalnih potrdil izdajatelja SIGOV-CA državni organi, in sicer državni in drugi organi, ki po veljavni zakonodaji veljajo za neposredne uporabnike državnega proračuna.
• SIGOV-CA po novem izdaja tudi kvalificirana digitalna potrdila za sisteme za sprotno preverjanje veljavnosti digitalnih potrdil (OCSP, angl. Online certificate status protocol).
• Po novi politiki lahko imetniki kvalificiranih digitalnih potrdil SIGOV-CA oz. njihove organizacije prekličejo potrdila v poslovnem času, ki po veljavni zakonodaji velja za čas poslovanja med organi državne uprave. Samo v nujnih primerih, ko gre za možnost zlorabe, nezanesljivosti ipd., lahko imetniki oz. organizacije prekličejo kadarkoli.
• Pričujoča politika je pripravljena v skladu z novimi priporočili glede strukture dokumenta po RFC 3647 .Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework..

Kvalificirana digitalna potrdila se pridobijo na podlagi zahtevka, ki ga mora podpisati predstojnik organizacije oz. organizacijske enote in bodoči imetniki. V primeru kvalificiranega digitalnega potrdila za splošni naziv, strežnik, podpis kode, izdajatelja časovnih žigov oz. sistema za sprotno preverjanje veljavnosti digitalnih potrdil je bodoči imetnik zaposleni oz. oseba, ki jo predstojnik pooblasti za uporabo tega potrdila. Predstojnik s podpisom zahtevka jamči za istovetnost bodočega imetnika. Izpolnjen zahtevek se odda na prijavno službo (seznam je objavljen na spletni strani http://www.sigov-ca.gov.si/prijavne-slu.php).

SIGOV-CA na podlagi odobrenega zahtevka pripravi referenčno številko in avtorizacijsko kodo, ki sta unikatni za vsakega bodočega imetnika kvalificiranega digitalnega potrdila in ju bodoči imetnik potrebuje za prevzem svojega potrdila, ki ga opravi na svoji delovni postaji v skladu z navodili izdajatelja SIGOV-CA. Bodoči imetnik prejme referenčno številko po elektronski pošti, avtorizacijsko kodo pa po priporočeni pošti na službeni naslov.

Spletno kvalificirano digitalno potrdilo je povezano z enim parom ključev, ki se tvori z imetnikovo programsko ali strojno opremo. SIGOV-CA nikoli ne hrani in tudi nima dostopa do zasebnega ključa. Javni ključ se pošlje izdajatelju SIGOV-CA, ki izda potrdilo, katerega sestavni del je javni ključ. Spletno potrdilo se shrani pri imetniku, dostopno pa je tudi v javnem imeniku potrdil.

Pri posebnem digitalnem potrdilu pa imamo ločena para ključev za podpisovanje/overjanje in za dešifriranje/šifriranje in s tem tudi dve potrdili. Pri tem velja:

• Par ključev za podpisovanje/overjanje se tvori z imetnikovo programsko opremo. SIGOV-CA nikoli ne hrani in tudi nima dostopa do zasebnega ključa za podpisovanje. Javni ključ za overjanje podpisa se pošlje SIGOV-CA, ki izda potrdilo za overjanje podpisa, katerega sestavni del je javni ključ za overjanje podpisa. Potrdilo za overjanje podpisa se shrani pri imetniku.
• Par ključev za dešifriranje/šifriranje se tvori na strani izdajatelja SIGOV-CA. Zasebni ključ za dešifriranje hrani imetnik. Zaradi možnega dostopa (dešifriranja) do pomembnih zašifriranih podatkov, če zasebni ključ za dešifriranje iz kakršnegakoli razloga ni več dostopen, se ta ključ po posebnem režimu, ki je določen z Interno politiko overitelja na MJU, varno hrani tudi v arhivu SIGOV-CA. SIGOV-CA izda potrdilo za šifriranje, katerega sestavni del je javni ključ za šifriranje. Potrdilo za šifriranje se objavi v javnem imeniku potrdil.

SIGOV-CA poleg podatkov, ki so vključeni v digitalno potrdilo, hrani ostale potrebne podatke o imetniku in organizaciji za namen elektronskega poslovanja v skladu z veljavnimi predpisi.

Imetnik mora skrbno varovati zasebne ključe in svoje kvalificirano digitalno potrdilo ter ravnati v skladu s politiko, obvestili izdajatelja SIGOV-CA in veljavno zakonodajo.