CAITWCER.TT.PRPO14999 – Certification Practice Statement ... · 4.11 Cessazione del contratto ......

Titolo Codice

CAITWCER.TT.PRPO14999

Revisione

Certification Practice Statement TI Trust Technologies Global CA

Stato Rilasciato

00

Documento Pubblico Pag. 1 di 39


TIPO DOCUMENTO Documento di policy

EMESSO DA TI Trust Technologies S.r.l.

DATA EMISSIONE N. ALLEGATI STATO 31/03/2014 0 Rilasciato

LISTA DI DISTRIBUZIONE Documento pubblico

REGISTRO DELLE MODIFICHE

REVISIONE DESCRIZIONE EMISSIONE

00 Prima emissione 31/03/2014

Titolo Codice


Revisione


Stato Rilasciato

00


Indice degli argomenti

1 INTRODUZIONE ......................................................................................................................... 6

1.1 Scopo del documento ............................................................................................... 6

1.2 Identificazione del CPS ............................................................................................. 7

1.3 Partecipanti alla PKI .................................................................................................. 8

1.3.1 Certification Authority ..................................................................................... 8

1.3.2 Registration Authority ..................................................................................... 8

1.3.3 Soggetto richiedente (Subscriber) .................................................................. 9

1.3.4 Utente finale ................................................................................................... 9

1.4 Uso dei certificati ....................................................................................................... 9

1.4.1 Uso appropriato del certificato ........................................................................ 9

1.4.2 Uso proibito del certificato ............................................................................ 10

1.4.3 Estensioni del certificato ............................................................................... 10

1.5 Amministrazione del CPS ....................................................................................... 10

1.6 Definizioni e acronimi .............................................................................................. 10

1.7 Riferimenti ............................................................................................................... 11

2 PUBBLICAZIONI E REPOSITORY .......................................................................................... 12

2.1 Gestione del repository ........................................................................................... 12

2.2 Informazioni pubblicate ........................................................................................... 12

2.3 Tempi e frequenza delle pubblicazioni .................................................................... 12

2.4 Controllo degli accessi ............................................................................................ 12

3 IDENTIFICAZIONE ED AUTENTICAZIONE ............................................................................ 13

3.1 Regole di Naming .................................................................................................... 13

3.2 Validazione iniziale dell’identità .............................................................................. 13

3.2.1 Dimostrazione del possesso della chiave privata ........................................ 13

3.2.2 Autenticazione dell’organizzazione richiedente ........................................... 14

3.2.3 Autenticazione delle identità individuali ........................................................ 14

3.2.4 Ulteriori verifiche svolte dalla CA .................................................................. 14

3.2.5 Informazioni non verificate dalla CA ............................................................. 14

3.3 Processo di Registrazione del Sottoscrittore (Subscriber) ..................................... 15

3.3.1 Documenti utilizzati per la registrazione del Subscriber ............................... 15

3.3.2 Dati necessari per la registrazione del Subscriber ....................................... 15

3.3.3 Pseudonimi ................................................................................................... 16

3.3.4 Dati archiviati per la registrazione del Subscriber ........................................ 16

3.4 Identificazione e Autenticazione per le richieste di revoca ..................................... 16

4 REQUISITI OPERATIVI DI GESTIONE DEI CERTIFICATI..................................................... 17

4.1 Richiesta del certificato ........................................................................................... 17

Titolo Codice


Revisione


Stato Rilasciato

00


4.2 Elaborazione delle richieste .................................................................................... 18

4.3 Emissione del certificato ......................................................................................... 18

4.4 Accettazione del certificato ..................................................................................... 18

4.5 Uso della coppia di chiavi e del certificato .............................................................. 19

4.6 Rinnovo del certificato ............................................................................................. 19

4.7 Rigenerazione della chiave (re-key) ....................................................................... 19

4.8 Modifica del certificato ............................................................................................. 19

4.9 Sospensione e Revoca del certificato ..................................................................... 19

4.9.1 Circostanze per la sospensione ................................................................... 20

4.9.2 Chi può richiedere la sospensione ............................................................... 20

4.9.3 Procedura per la sospensione ...................................................................... 20

4.9.4 Circostanze per la revoca ............................................................................. 20

4.9.5 Chi può richiedere la revoca ......................................................................... 21

4.9.6 Procedura per la revoca ............................................................................... 21

4.9.7 Frequenza di emissione della CRL .............................................................. 21

4.10 Servizi informativi sullo stato del certificato ............................................................ 21

4.11 Cessazione del contratto......................................................................................... 21

4.12 Segnalazioni di problemi ......................................................................................... 21

4.13 Key escrow e key recovery ..................................................................................... 22

5 MISURE DI SICUREZZA FISICA ED OPERATIVA ................................................................. 23

5.1 Sicurezza fisica ....................................................................................................... 23

5.2 Sicurezza delle procedure ....................................................................................... 25

5.3 Sicurezza del personale .......................................................................................... 26

5.4 Logging degli eventi ................................................................................................ 26

5.5 Archiviazione dei dati .............................................................................................. 26

5.6 Key Compromise e Disaster Recovery ................................................................... 27

6 MISURE DI SICUREZZA TECNICA ......................................................................................... 28

6.1 Generazione delle chiavi ......................................................................................... 28

6.1.1 Chiavi della CA ............................................................................................. 28

6.1.2 Chiavi dei Subscriber ................................................................................... 28

6.2 Distribuzione della chiave pubblica ......................................................................... 28

6.2.1 Chiavi della CA ............................................................................................. 28


6.3 Lunghezza delle chiavi ............................................................................................ 28

6.3.1 Chiavi della CA ............................................................................................. 28


6.4 Parametri di generazione e qualità delle chiavi ...................................................... 29

6.4.1 Chiavi della CA ............................................................................................. 29


Titolo Codice


Revisione


Stato Rilasciato

00


6.5 Key usage (estensione X.509 v3) ........................................................................... 29

6.6 Protezione della chiave privata ............................................................................... 29

6.7 Standard di sicurezza dei moduli crittografici.......................................................... 29

6.8 Backup e ripristino della chiave privata ................................................................... 29

6.9 Compromissione della chiave privata ..................................................................... 30

6.10 Distruzione della chiave privata .............................................................................. 30

6.11 Dati di attivazione .................................................................................................... 30

6.12 Requisiti di sicurezza degli elaboratori .................................................................... 30

6.13 Sicurezza di rete ..................................................................................................... 30

6.14 Riferimento temporale ............................................................................................. 31

7 PROFILO DEI CERTIFICATI E DELLE CRL ........................................................................... 32

7.1 Profilo dei certificati ................................................................................................. 32

7.2 Profilo della CRL ..................................................................................................... 32

7.3 Profilo dell’OCSP .................................................................................................... 32

8 VERIFICHE DI CONFORMITÀ ................................................................................................. 33

8.1 Frequenza e circostanze dalle verifiche .................................................................. 33

8.2 Identità e qualificazione degli ispettori .................................................................... 33

8.3 Relazioni tra la CA e gli ispettori ............................................................................. 33

8.4 Argomenti coperti dalle verifiche ............................................................................. 33

8.5 Azioni conseguenti alle non-conformità .................................................................. 34

8.6 Comunicazione dei risultati delle verifiche .............................................................. 34

9 CONDIZIONI GENERALI DEL SERVIZIO ............................................................................... 35

9.1 Tariffe del servizio ................................................................................................... 35

9.2 Responsabilità finanziaria ....................................................................................... 35

9.3 Tutela della riservatezza e trattamento dei dati personali ...................................... 35

9.3.1 Informativa ai sensi del D.Lgs. 196/03 ......................................................... 35

9.3.2 Archivi contenenti dati personali ................................................................... 36

9.3.3 Misure di tutela della riservatezza ................................................................ 36

9.4 Diritti di proprietà intellettuale .................................................................................. 36

9.5 Obblighi e garanzie ................................................................................................. 36

9.5.1 Certification Authority ................................................................................... 36

9.5.2 Registration Authority ................................................................................... 37

9.5.3 Soggetto richiedente o Titolare .................................................................... 37

9.5.4 Utente finale ................................................................................................. 38

9.6 Esclusione di garanzie ............................................................................................ 38

9.7 Limitazioni di responsabilità .................................................................................... 38

9.8 Risarcimenti ............................................................................................................ 38

9.9 Durata e terminazione ............................................................................................. 38

Titolo Codice


Revisione


Stato Rilasciato

00


9.10 Comunicazioni ......................................................................................................... 39

9.11 Emendamenti .......................................................................................................... 39

9.12 Risoluzione delle dispute ........................................................................................ 39

9.13 Legge applicabile .................................................................................................... 39

9.14 Conformità con le norme applicabili ........................................................................ 39

9.15 Forza maggiore ....................................................................................................... 39

Titolo Codice


Revisione


Stato Rilasciato

00


1 INTRODUZIONE

IT Telecom S.r.l. a partire dal 1° gennaio 2014 è diventata Telecom Italia Trust Technologies S.r.l. (nel seguito TI Trust Technologies).

Certificatore attivo dal Dicembre 2005, accreditato presso AgID (già DigitPA), TI Trust Technologies offre diverse tipologie di certificati e relativi servizi di gestione, oltre a diversi altri servizi e soluzioni.

1.1 Scopo del documento

Nel presente documento sono illustrate le modalità ed i processi operativi della Certification Authority denominata TI Trust Technologies Global CA, mediante la quale TI Trust Technologies emette e gestisce Certificati Digitali utilizzati da aziende del Gruppo Telecom Italia e dai loro Clienti, sotto la loro responsabilità e negli ambiti definiti.

Le procedure utilizzate per l’emissione dei Certificati Digitali sono riportate sul sito http://www.trusttechnologies.it/.

Un certificato lega una chiave pubblica ad un insieme d’informazioni che identificano un soggetto (individuo od organizzazione). Tale soggetto, titolare del certificato, possiede ed utilizza la corrispondente chiave privata. Il certificato viene generato e fornito al titolare da una terza parte fidata detta Certification Authority (CA). Il certificato è firmato digitalmente dalla CA.

L’affidabilità di un certificato, ovvero l’associazione certa tra una data chiave pubblica ed il soggetto identificato, dipende anche dalle procedure operative del certificatore , dagli obblighi e responsabilità che si assumono certificatore e titolare, dalle misure di sicurezza fisiche e logiche del certificatore. Tali aspetti sono descritti in un documento pubblico: Certification Practice Statement (CPS).

Questo documento è il CPS di TI Trust Technologies per la gestione dei certificati di seguito elencati, e delle relative chiavi crittografiche:

Certificati SSL Server (Domain Validated)

Certificati SSL Server Extended Validation (EV)

Certificati SSL Client S/MIME (Secure/Multipurpose Internet Mail Extensions)

Certificati per Code Signing

Questo CPS identifica i ruoli, le responsabilità e le pratiche di tutti i soggetti coinvolti nel ciclo di vita, uso e gestione dei certificati di TI Trust Technologies. La struttura e contenuto di questo CPS si basano sulla specifica pubblica RFC 3647.

Una Certificate Policy (CP) completa questo CPS: lo scopo del CP è, tra l'altro, di definire un quadro di regole operative per la CA TI Trust Technologies. Inoltre la CA mantiene controlli per garantire che il suo CPS affronta i temi inclusi nella CP.

Titolo Codice


Revisione


Stato Rilasciato

00


1.2 Identificazione del CPS

L’OID per TI Trust Technologies (CA) è {iso(1) identified-organization(3) uninfo(76) Telecom Italia Trust Technologies S.r.l. (33)}: 1.3.76.33

Questo CPS è indicato, nei certificati, col seguente Object Identifier (OID): 1.3.76.33.1.1.30.

La CA definisce ed organizza i suoi OID per i vari certificati e documenti di cui al presente CPS (che può essere aggiornato di volta in volta) come segue, in conformità alla “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v. 1.1” del CABrowser Forum:

TI Trust Technologies 11..33..7766..3333

Certification Service Provider 11..33..7766..3333..11

Certification Practice Statements 11..33..7766..3333..11..11

CPS TI Trust Technologies Global CA 11..33..7766..3333..11..11..3300

Certificati Apparato 11..33..7766..3333..11..11..3300..11

Domain Validated Certificates 11..33..7766..3333..11..11..3300..11..11

SSL Server 11..33..7766..3333..11..11..3300..11..11..11

SSL Client 11..33..7766..3333..11..11..3300..11..11..22

SSL Server & Client 11..33..7766..3333..11..11..3300..11..11..33

Extended Validated Certificates 11..33..7766..3333..11..11..3300..11..22

EV SSL Server 11..33..7766..3333..11..11..3300..11..22..11

Certificati Personali 11..33..7766..3333..11..11..3300..22

S/MIME Certificates 11..33..7766..3333..11..11..3300..22..11

con AutoEnrollment 11..33..7766..3333..11..11..3300..22..11..11

Certificati Code Sign 11..33..7766..3333..11..11..3300..33

Code Signing Certificates 11..33..7766..3333..11..11..3300..33..11

Generico 11..33..7766..3333..11..11..3300..33..11..11

Certificate Policies 11..33..7766..3333..11..22

CP TI Trust Technologies Global CA 11..33..7766..3333..11..22..3300

Manuali Operativi 11..33..7766..3333..11..33

Manuale Operativo Servizio di Certificazione TI Trust Technologies Global CA

11..33..7766..3333..11..33..3300

Titolo Codice


Revisione


Stato Rilasciato

00


1.3 Partecipanti alla PKI

1.3.1 Certification Authority

La Certification Authority è il soggetto terzo e fidato che emette i certificati, firmandoli con la propria chiave privata (chiave di CA). La CA, inoltre, gestisce lo stato dei certificati.

Nell’ambito del servizio qui descritto, il ruolo di CA è svolto dalla società Telecom Italia Trust Technologies S.r.l. (in seguito solo “TI Trust Technologies”), identificata come segue:

Denominazione sociale: Telecom Italia Trust Technologies S.r.l.

Indirizzo della sede legale: SS.148 Pontina Km.29,100 – 00040 Pomezia

Legale rappresentante: Leopoldo Genovesi (Amministratore Delegato)

P.IVA e Codice Fiscale: 04599340967

N° di telefono: 800 28 75 24

ISO Object Identifier (OID): 1.3.76.33

Sito web generale (informativo): http://www.trusttechnologies.it/

Sito intranet del servizio di certificazione:

https://ca.telecomitalia.it/factory

Indirizzo di posta elettronica: [email protected]

1.3.2 Registration Authority

La Registration Authority (RA) è la persona, struttura od organizzazione che svolge le attività di:

accoglimento e validazione delle richieste di emissione e gestione dei certificati,

registrazione del soggetto richiedente e dell’organizzazione di appartenenza,

autorizza l’emissione, da parte della CA, del certificato richiesto,

fornisce al cliente il certificato e le informazioni annesse.

L’attività di RA è svolta da personale di TI Trust Technologies, ovvero dalla CA stessa.

Per l'emissione dei certificati EV, la CA TI Trust Technologies obbliga i Subscriber di rispettare tutti i requisiti applicabili indicati dalla EV Guidelines ed incorporati per riferimento dalla CA stessa.

Titolo Codice


Revisione


Stato Rilasciato

00


1.3.3 Soggetto richiedente (Subscriber)

I Soggetti richiedenti, ovvero i Subscriber, dei certificati sono persone fisiche o giuridiche che richiedono un certificato e che detengono la corrispondente chiave privata.

I Subject dei certificati sono persone o entità che sono Subscriber oppure associati con un Subscriber. Possono essere elencati come Subject nei certificati le seguenti entità:

persone fisiche (certificati Personali),

entità giuridiche create attraverso tutte le forme riconosciute da enti di incorporazione o di governo (certificati EV SSL),

persone giuridiche o liberi professionisti (certificati SSL Server e CodeSign). L’Applicant (richiedente) è persona o entità che intende diventare Subscriber di un certificato. È designato dal Subject ad agire per suo conto nella richiesta di un certificato e accettazione delle condizioni di utilizzo.

Il contratto con la CA viene normalmente stipulato dall’utente finale o titolare, in veste di cliente; è comunque ammesso che il cliente (il soggetto che sostiene il costo del certificato e della conseguente gestione da parte della CA) agisca in nome e per conto del titolare del certificato, circostanza che deve essere dimostrata dagli interessati in sede di richiesta (vedere la sezione 3.2).

1.3.4 Utente finale

Gli Utenti finali sono tutti i soggetti che fanno affidamento sulle informazioni contenute nel certificato. Ad esempio nel caso dei certificati per SSL Server, si tratta degli utenti del sito web interessato.

1.4 Uso dei certificati

Ogni uso improprio dei certificati emessi da TI Trust Technologies sulla base di questo CPS è proibito e comporta, qualora TI Trust Technologies ne venga a conoscenza, la revoca immediata del certificato.

Si assume che il cliente possegga le competenze e gli strumenti necessari per l’uso appropriato del certificato.

I certificati emessi da TI Trust Technologies Global CA fanno riferimento al Root Certificate di OmniRoot Baltimore. Questo Root Certificate è preinstallato nei principali Server Web e nei più diffusi browser e garantisce pertanto un riconoscimento pressoché universale ai certificati ad esso collegati.

1.4.1 Uso appropriato del certificato

I certificati digitali rilasciati dalla TI Trust Technologies Global CA possono essere utilizzati per le transazioni di dominio pubblico che richiedono:

Autenticazione

Garanzie circa l'identità di un dispositivo remoto

Titolo Codice


Revisione


Stato Rilasciato

00


L'uso non autorizzato di certificati può comportare un annullamento delle garanzie offerte dalla TI Trust Technologies Global CA agli utenti e parti coinvolte.

1.4.2 Uso proibito del certificato

L’uso del certificato è limitato utilizzando le estensioni keyUsage e ExtendedKeyUsage del certificato. Qualsiasi utilizzo del certificato in contrasto con queste estensioni non è permesso.

1.4.3 Estensioni del certificato

La composizione dei Certificati Digitali Garantiti emessi da TI Trust Technologies Global CA è conforme allo standard X.509 v3.

TI Trust Technologies utilizza alcune estensioni secondo la definizione della International Standards Organisation (ISO). Tali estensioni possono limitare il ruolo e la posizione di un certificato; ad esempio l’estensione keyUsage limita i fini tecnici per i quali può essere utilizzata una chiave in un certificato.

1.5 Amministrazione del CPS

Questo CPS è redatto, pubblicato ed aggiornato da TI Trust Technologies. Inoltre è sottoposto a revisione (almeno) annuale per garantire la conformità ai requisiti previsti dal CA/Browser Forum e dal WebTrust Program for Certification Authorities.

Richieste di informazioni o chiarimenti sul presente CPS possono essere inoltrate via posta elettronica all’indirizzo [email protected].

Questo CPS è approvato dal responsabile della sicurezza di TI Trust Technologies, di concerto con la Direzione, previo consulto con le funzioni aziendali coinvolte nell’erogazione del servizio.

1.6 Definizioni e acronimi

AgID Agenzia per l’Italia Digitale (ex gestione DigitPA)

CA Certification Authority

CDP CRL Distribution Point

CP Certificate Policy

CPS Certification Practice Statement

CRL Certificate Revocation List

CS Centro Servizi

CSR Certificate Signing Request

DN Distinguished Name

FIPS Federal Information Processing Standard

HSM Hardware Security Module

HTTP Hyper-Text Transfer Protocol

ISO International Standards Organization

LDAP Lightweight Directory Access Protocol

Titolo Codice


Revisione


Stato Rilasciato

00


OCSP On-line Certificate Status Protocol

OID Object Identifier

PDF Portable Document Format

PKI Public Key Infrastructure

RA Registration Authority

SSL Secure Sockets Layer

TLS Transport Layer Security

1.7 Riferimenti

[DLGS196]Decreto Legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”, pubblicato nel Supplemento Ordinario n.123 della Gazzetta Ufficiale n. 174, 29 luglio 2003.

[RFC2251]"Lightweight Directory Access Protocol (v3)", (http://www.ietf.org/rfc/rfc2251.txt)

[RFC2314]"PKCS#10: Certification Request Syntax Version 1.5", (http://www.ietf.org/rfc/rfc2314.txt)

[RFC2560]"Online Certificate Status Protocal - OCSP", (http://www.ietf.org/rfc/rfc2560.txt)

[RFC2818]"HTTP Over TLS", RFC 2818, May 2000. (http://www.ietf.org/rfc/rfc2818.txt)

[RFC3647]"Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework", (http://www.ietf.org/rfc/rfc3647.txt)

[RFC5280]"Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", (http://www.ietf.org/rfc/rfc5280.txt)

[X.509]ITU-T Recommendation X.509 (2005)|ISO/IEC 9594-8:2005, Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks.

[The CA/Browser Forum] “Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v. 1.1” (aggiornato al 31 Gennaio 2013).

[The CA/Browser Forum] ”Guidelines For The Issuance And Management Of Extended Validation Certificates, v.1.4” (aggiornato al 31 Luglio 2013).

Titolo Codice


Revisione


Stato Rilasciato

00


2 PUBBLICAZIONI E REPOSITORY

Per “repository” si intende un insieme di archivi o registri on-line contenenti informazioni di interesse pubblico relative ai certificati e al servizio di emissione e gestione degli stessi descritto in questo CPS.

2.1 Gestione del repository

ll “repository” di TI Trust Technologies è costituito da:

sito web dei servizi di CA (http://www.trusttechnologies.it),

CDP della CA (http://ca.tipki.it/TTGlobalCA/)

La CA gestisce in proprio il repository e ne è direttamente responsabile.

2.2 Informazioni pubblicate

La CA pubblica almeno la seguente documentazione sul proprio sito web:

Certification Practice Statement (CPS)

Certificate Policy (CP)

Condizioni generali di utilizzo dei servizi

Tariffe massime del servizio

Modulistica

La CA, inoltre, pubblica i certificati e le CRL.

Ulteriori informazioni sulle CRL si rimanda alla sezione 4.10.

2.3 Tempi e frequenza delle pubblicazioni

Il CPS e la documentazione annessa vengono pubblicati sul sito web della CA in occasione di ogni aggiornamento.

I certificati vengono pubblicati al momento della loro emissione.

Per ulteriori informazioni sulle CRL si rimanda alla sezione 4.10.

2.4 Controllo degli accessi

L’accesso al repository in sola lettura (“read-only”) è completamente libero per chiunque. L’accesso al repository per la pubblicazione di informazioni nuove o aggiornate è possibile solo da postazioni di lavoro attestate sulla medesima rete del repository, previa autenticazione.

Titolo Codice


Revisione


Stato Rilasciato

00


3 IDENTIFICAZIONE ED AUTENTICAZIONE

3.1 Regole di Naming

Tutti i titolari di certificato sono individuati da un distinguishedName (DN) chiaro ed univoco, conforme al corrispondente standard X.500. Il distinguishedName deve essere riconoscibile come nome di persona o entità.

Il campo subject del certificato deve contenere informazioni facilmente comprensibili che consentano l’individuazione dell’organizzazione titolare del certificato. Non sono consentiti pseudonimi o nomi diversi dall’effettiva denominazione sociale (o altra denominazione ufficiale) del Cliente.

La componente country del campo subject deve contenere il codice ISO 3166 a due lettere (es.“IT”) che identifica il paese dove ha sede l’organizzazione titolare del certificato.

La componente organizationName del campo subject deve contenere il nome ufficiale (es. denominazione sociale) dell’organizzazione titolare del certificato. Il nome dev’essere univoco, ossia non deve prestarsi ad ambiguità. Per risolvere eventuali ambiguità, la CA può richiedere che il nome sia seguito dal codice fiscale dell’organizzazione o altre informazioni utili allo scopo.

Nel caso di certificato Server, la componente commonName del campo subject deve contenere l’indirizzo corretto del server (numerico o simbolico).

La CA TI Trust Technologies rilascia certificati ai richiedenti che presentano una domanda opportunamente documentata contenente un nome verificabile.

I Clienti non possono utilizzare nelle richieste di certificazione nomi che violino diritti di proprietà intellettuale di altri. TI Trust Technologies rimarrà estranea a qualsivoglia controversia riguardante la proprietà dei nomi di dominio, né si adopererà per risolvere eventuali controversie riguardanti la proprietà di nomi di dominio, nomi commerciali, marchi commerciali o di servizi. TI Trust Technologies si riserva la facoltà di respingere una richiesta di certificazione e di revocare un certificato a fronte di una tale controversia.

3.2 Validazione iniziale dell’identità

3.2.1 Dimostrazione del possesso della chiave privata

La dimostrazione del possesso, da parte del richiedente, della chiave privata corrispondente al certificato richiesto si basa sulla verifica crittografica della CSR (Certificate Signing Request) inviata alla CA.

Il richiedente, infatti, deve inviare la propria chiave pubblica alla CA sotto forma di CSR in formato PKCS#10 [RFC2314].

La CA verifica che la firma digitale contenuta nella CSR sia valida.

L’invio della CSR alla CA avviene di norma via web (tramite il portale dei servizi di certificazione) o via posta elettronica.

Titolo Codice


Revisione


Stato Rilasciato

00


3.2.2 Autenticazione dell’organizzazione richiedente

La verifica dell’identità dell’organizzazione richiedente include in ogni caso la consultazione del database della CCIAA (Camera di Commercio, Industria e Artigianato). Il nome dell’organizzazione dichiarato dal cliente deve corrispondere alla denominazione sociale che risulta dalla consultazione. Nel caso di mancata corrispondenza, la richiesta di certificato è respinta.

3.2.3 Autenticazione delle identità individuali

Le identità individuali indicate nella richiesta vengono verificate per via telefonica, contattando la persona che figura come “richiedente” nel modulo di richiesta certificato.

La CA TI Trust Technologies si riserva di compiere ulteriori verifiche con modalità non prestabilite.

3.2.4 Ulteriori verifiche svolte dalla CA

Nel caso dei certificati Server, la CA TI Trust Technologies consulta inoltre il record WHOIS per verificare che l’organizzazione proprietaria del dominio sia la stessa che richiede il certificato. Nel caso di mancata corrispondenza, la richiesta di certificato è respinta. È tuttavia possibile che l’organizzazione titolare del dominio ne abbia affidato la gestione al soggetto che richiede il certificato. In questo caso, la richiesta viene accettata a patto che fornisca alla CA l’evidenza di tale affidamento (es. copia della richiesta di registrazione del dominio inviata dall’organizzazione titolare del dominio al gestore).

Qualora sia richiesto il rilascio di un certificato con estensione subjectAlternativeName o con campo subject:commonName contenente un indirizzo IP riservato o il nome interno del server, la CA comunica al richiedente che l'uso di tali certificati è stato deprecato1 e che la pratica verrà eliminata a partire da Ottobre 20162.

La CA TI Trust Technologies si riserva la facoltà di effettuare ulteriori verifiche con modalità non prestabilite.

3.2.5 Informazioni non verificate dalla CA

La CA TI Trust Technologies non verifica gli indirizzi di posta elettronica indicati nel modulo di richiesta.

In generale, la CA TI Trust Technologies non verifica la correttezza delle informazioni ricevute dal richiedente che non sono destinate ad essere incluse in campi critici del

1 In accordo a quanto indicato dalla “Baseline Requirements for the Issuance and Management of Publicly‐Trusted

Certificates, v.1.1” del CA/Browser Forum. 2 A partire dalla data di efficacia della Baseline Requirements, la CA non deve rilasciare certificati, con data di scadenza oltre

il 1 novembre 2015, con estensione subjectAlternativeName o con campo subject:commonName contenente un indirizzo IP riservato o il nome interno del server; a partire dal 1 ottobre 2016, la CA revoca tutti i certificati non scaduti la cui estensione subjectAlternativeName o il campo subject:commonName contiene un indirizzo IP riservato o il nome interno del server.

Titolo Codice


Revisione


Stato Rilasciato

00


certificato (ai fini della sicurezza) e che non sono necessarie per l’emissione e successiva gestione del certificato.

3.3 Processo di Registrazione del Sottoscrittore (Subscriber)

Se non diversamente disposto dal presente CPS in connessione con le linee guida EV (certificati EV SSL), le seguenti regole si applicano per quanto riguarda il processo di registrazione del Sottoscrittore.

La CA TI Trust Technologies assicura che:

I Subscriber sono adeguatamente identificati e autenticati;

Le Richieste di certificato (Certificate Signing Request) sono complete, accurate e debitamente autorizzate.

In particolare:

TI Trust Technologies fornisce un servizio informativo al richiedente tramite il suo sito web (http://www.trusttechnologies.it);

Prima di entrare in rapporto contrattuale con i Sottoscrittori, TI Trust Technologies rende disponibile un ‘Subscriber Agreement’ o ‘Condizioni di Utilizzo dei Servizi’, che il richiedente deve accettare prima di sottomettere una richiesta con TI Trust Technologies;

La policy di TI Trust Technologies è limitata dalle leggi sulla protezione dei dati e dei consumatori e dalle limitazioni di garanzia applicabili, come esposto in questo CPS (cfr. Cap.9).

3.3.1 Documenti utilizzati per la registrazione del Subscriber

TI Trust Technologies (CA o RA) verifica con mezzi appropriati e in base ad una procedura documentata (3.2.3), l'identità del Subscriber e, se necessario, tutti gli attributi specifici dei soggetti richiedenti un certificato. La verifica sull'identità di una persona fisica viene effettuata direttamente o indirettamente, con mezzi che forniscono una garanzia equivalente alla presenza fisica. Le evidenze presentate possono essere in formato cartaceo o elettronico.

In aggiunta a quanto sopra, per identificare le organizzazioni TI Trust Technologies richiede tipicamente copie autenticate o elementi identificativi aggiuntivi come possesso di partita IVA, ecc. (3.2.2). La verifica sull'identità delle organizzazioni viene effettuata controllando i documenti presentati per stabilire l'esistenza di organizzazioni o attraverso una verifica indipendente tramite banche dati di terze parti. Le evidenze presentate possono essere in formato cartaceo o elettronico.

Liberi professionisti che hanno diritto al rilascio di certificati in genere devono dimostrare la loro identità come individui, nonché la loro registrazione professionale.

3.3.2 Dati necessari per la registrazione del Subscriber

I dati richiesti potrebbero includere:

Cognome e Nome del Subscriber;

Data e luogo di nascita;

Titolo Codice


Revisione


Stato Rilasciato

00


Numero identificativo univoco (ad esempio, Codice Fiscale o Partita IVA) riconosciuto a livello nazionale o altri attributi del Subscriber che possano essere utilizzati per distinguere la persona in caso di omonimia;

Nome completo e forma giuridica della persona giuridica o altra entità organizzativa;

Tutte le pertinenti informazioni di registrazione esistenti (ad esempio, n° di Iscrizione al Registro delle Imprese o Codice Fiscale o Partita IVA) della persona giuridica o altra entità organizzativa;

Evidenza che il Subscriber appartiene ad una entità organizzativa.

3.3.3 Pseudonimi

Pseudonimi non sono ammessi per i certificati rilasciati dalla TI Trust Technologies Global CA.

3.3.4 Dati archiviati per la registrazione del Subscriber

TI Trust Technologies registra tutte le informazioni utilizzate per verificare l'identità del Subscriber, compreso qualsiasi numero di riferimento sulla documentazione utilizzata per la verifica e le eventuali limitazioni relative alla validità della stessa.

TI Trust Technologies mantiene dati del contratto e qualsiasi materiale o documentazione a supporto della registrazione del Subscriber, che includono anche ma non sono limitati a:

‘Subscriber Agreement’ o ‘Condizioni di Utilizzo del Servizio’ quale approvazione del richiedente;

Dichiarazione del richiedente che le informazioni contenute nel certificato sono corrette e complete;

Nome e cognome del Subscriber;

Prova di esistenza dell'entità organizzativa, dove necessario;

Nome completo e forma giuridica della persona giuridica o altra entità organizzativa;

Tutte le pertinenti informazioni di registrazione esistenti (ad esempio, registrazione della società) della persona giuridica o altra entità organizzativa;

Evidenza che il Subscriber appartiene ad una entità organizzativa.

3.4 Identificazione e Autenticazione per le richieste di revoca

La modalità di identificazione ed autenticazione delle richieste di sospensione o revoca dipende dal canale usato per la richiesta:

per poter inoltrare richieste di sospensione o revoca attraverso il portale dei servizi di certificazione digitale, è necessario il login al portale mediante userID e password (queste credenziali sono fornite in fase di registrazione);

nel caso delle richieste di sospensione o revoca inviate in forma cartacea alla CA, si procede come descritto nel paragrafo 3.2.3.

Titolo Codice


Revisione


Stato Rilasciato

00


4 REQUISITI OPERATIVI DI GESTIONE DEI CERTIFICATI

Se non diversamente disposto dal presente CPS in connessione con le linee guida EV (certificati EV SSL), i seguenti requisiti operativi si applicano al ciclo di vita dei certificati.

Tutte le entità all'interno del dominio TI Trust Technologies (RA, Subscribers o altri partecipanti) hanno il dovere continuo di informare la CA TI Trust Technologies di tutte le variazioni delle informazioni presenti in un certificato durante il periodo operativo del certificato e fino a che non scade o viene revocato.

La CA TI Trust Technologies emette, revoca o sospende i certificati solo a seguito di richieste autenticate ed approvate.

4.1 Richiesta del certificato

La richiesta del certificato può avvenire in due modi,

a) On-line: via web mediante sottomissione della CSR (Certificate Signing Request) tramite accesso al portale dei servizi di certificazione digitale, raggiungibile da rete intranet Telecom Italia (https://ca.telecomitalia.it/factory), previa autenticazione con credenziali di accesso personali3;

b) E-mail: mediante compilazione ed invio alla CA (per fax, email, posta ordinaria) dell’apposito modulo di richiesta scaricabile dal sito web (http://www.tipki.it) e successivo invio della CSR tramite posta elettronica.

In entrambi i casi i Sottoscrittori (Subscriber) sono sottoposti ad un processo di registrazione che richiede:

1. Compilazione di un modulo di domanda;

2. Generazione di una coppia di chiavi, con strumenti propri;

3. Generazione della Certificate Signing Request (CSR) nel formato conforme allo standard PKCS#10 [RFC2314], con strumenti propri;

4. Consegna della chiave pubblica generata corrispondente alla chiave privata, tramite invio della CSR;

5. Accettazione del ‘Subscriber Agreement’ o ‘Condizioni generali di utilizzo dei Servizi’.

Nel caso di un soggetto (Subject) che può essere distinto dal sottoscrittore (Subscriber), i requisiti sopra elencati sono soddisfatti dal soggetto stesso; altrimenti

3 Il Richiedente, se non ha già ottenuto in precedenza le proprie credenziali (userID e password) di accesso al portale dei servizi di certificazione, compila tutti i campi delle schermate che gli sono proposte, inserendo alcuni dati tra cui i seguenti:

Cognome e Nome,

Data e luogo di nascita,

Codice Fiscale,

Indirizzo e‐mail,

Telefono,

Azienda di appartenenza e sede operativa,

Funzione organizzativa e sigla. Confermando i dati inseriti ottiene userID e password per l’accesso al portale.

Titolo Codice


Revisione


Stato Rilasciato

00


dal richiedente incaricato dal soggetto. Il sottoscrittore è tenuto ad accettare i termini di emissione tramite ‘Subscriber Agreement’ o ‘Condizioni generali di utilizzo dei Servizi’ che verrà sottoscritto con TI Trust Technologies; l'accordo con il sottoscrittore incorpora per riferimento il presente CP.

In generale, un processo di registrazione on-line sarà sufficiente, solo come esplicitamente consentito da TI Trust Technologies; in tutti gli altri casi (compresi i certificati EV) sono richieste credenziali in una modalità tale che sia ragionevolmente possibile stabilire l'esatta identità del richiedente. Ciò include una copia firmata manualmente del ‘Subscriber Agreement’ o ‘Condizioni generali di utilizzo dei Servizi’, e una copia della carta d'identità.

4.2 Elaborazione delle richieste

Alla ricezione di una richiesta di certificazione la RA svolge opportune attività di verifica, come le seguenti:

provvede al censimento del richiedente nel database di registrazione;

verifica che le informazioni identificative contenute nella CSR siano coerenti con quelle fornite nel modulo di richiesta;

verifica l’identità del richiedente ed il suo possesso della chiave privata corrispondente alla CSR, come descritto nella sezione 3.2;

verifica la coerenza fra i dati contenuti nella richiesta effettuata on line e quelli riportati sulla documentazione ricevuta;

verifica l’univocità del nome X.500 (Distinguished Name) nell’ambito dei certificati emessi dalla TI Trust Technologies Global CA;

verifica l’attribuzione del Dominio all’organizzazione del richiedente;

effettua, se necessario, ulteriori controlli.

4.3 Emissione del certificato

Se le verifiche di cui alla sezione precedente vengono superate, la RA invia alla CA una richiesta di emissione del certificato.

La CA emette il certificato ed invia una notifica all’indirizzo di posta elettronica indicato nella richiesta segnalando la disponibilità del certificato ovvero invia direttamente il certificato all’indirizzo di posta elettronica indicato nella richiesta.

4.4 Accettazione del certificato

Il richiedente, ricevuta la notifica, scarica e installa il certificato sul suo dispositivo: il download del Certificato può avvenire dal Portale dei servizi di Certificazione oppure tramite la ricezione del Certificato direttamente all’indirizzo di posta elettronica indicato nella richiesta.

Il richiedente deve informare TI Trust Technologies di eventuali imprecisioni o difetti in un certificato subito dopo il ricevimento del certificato o comunicare precedentemente le informazioni da includere nel certificato.

Titolo Codice


Revisione


Stato Rilasciato

00


L’uso pubblico del certificato (ad esempio, installazione su un server web ovvero firma di codice eseguibile scaricabile da siti web), anche se temporaneo, implica in ogni caso l’accettazione del certificato da parte del titolare.

4.5 Uso della coppia di chiavi e del certificato

Il Titolare deve proteggere la propria chiave privata, avendo cura di evitare la divulgazione a terzi.

La CA TI Trust Technologies fornisce un adeguato accordo di sottoscrizione che mette in evidenza gli obblighi del titolare rispetto alla protezione della chiave privata.

Le chiavi private devono essere utilizzate solo come specificato nei campi keyUsage ed extendedkeyUsage come indicato nel relativo certificato digitale.

Dove è possibile fare un backup di una chiave privata, il titolare deve utilizzare lo stesso livello di cura e protezione attribuito alla chiave privata. Al termine della vita utile di una chiave, il titolare deve eliminare in modo sicuro la chiave ed eventuali frammenti in cui è stata divisa ai fini del backup.

4.6 Rinnovo del certificato

Il Certificato ha una data di scadenza, oltre la quale esso perde ogni validità.

TI Trust Technologies non effettua il rinnovo di un certificato, a meno che l’utente non generi una nuova coppia di chiavi. A parte questa condizione, il processo di rinnovo è uguale al processo di prima emissione.

4.7 Rigenerazione della chiave (re-key)

Nel caso in cui l’utente finale (titolare) decida di utilizzare una nuova chiave, egli deve necessariamente fare richiesta di un corrispondente nuovo certificato.

4.8 Modifica del certificato

Un certificato, essendo firmato dalla CA emittente, non può essere modificato. Per rimediare ad eventuali errori nella generazione del certificato, dunque, è necessario emetterne uno nuovo (e revocare quello errato, per evidenti ragioni di sicurezza).

Nel caso in cui il certificato emesso contenga informazioni errate a causa di errori commessi dalla CA o dalla RA (nel caso si tratti di struttura distinta), il certificato errato sarà revocato e ne verrà emesso uno corretto, sollecitamente, senza oneri aggiuntivi per il cliente e senza richiedere ulteriori informazioni al cliente.

Nel caso in cui il certificato emesso contenga informazioni errate a causa di errori commessi dal richiedente (ad esempio, errata compilazione di uno o più campi del modulo di richiesta), il certificato errato sarà revocato.

4.9 Sospensione e Revoca del certificato

La sospensione determina un blocco temporaneo della validità di un certificato, a partire da un dato momento (data/ora).

Titolo Codice


Revisione


Stato Rilasciato

00


La revoca determina la cessazione anticipata della validità di un certificato, a partire da un dato momento (data/ora). La revoca di un certificato è irreversibile e non retroattiva.

L’attuazione della sospensione o revoca consiste nella generazione e pubblicazione di una nuova CRL (Certificate Revocation List) che include il numero di serie del certificato sospeso o revocato. La CRL è liberamente accessibile a chiunque abbia necessità di verificare lo stato del certificato (cfr. la sezione 4.10).

La CA TI Trust Technologies non fornisce servizi di sospensione ai Subscriber.

4.9.1 Circostanze per la sospensione

Non applicabile.

4.9.2 Chi può richiedere la sospensione

Non applicabile.

4.9.3 Procedura per la sospensione

Non applicabile.

4.9.4 Circostanze per la revoca

Le condizioni che possono determinare la revoca di un certificato digitale sono le seguenti:

la perdita, il furto, la modifica, la rivelazione non autorizzata o altra compromissione della chiave privata del soggetto (subject) del certificato;

il soggetto (subject) del certificato o il sottoscrittore (subscriber) designato ha violato un obbligo definito in questo CPS;

variazione delle informazioni contenute nel certificato relative al soggetto (subject) del certificato;

un errore nel processo di registrazione;

provvedimento dell’autorità giudiziaria (ad esempio a seguito di attività illecite da parte dell’entità organizzativa titolare del certificato;

la cessazione dell’attività dell’entità organizzativa titolare del certificato;

la richiesta da parte del titolare (ad esempio motivata da cessazione dell’uso del certificato);

inadempienze contrattuali da parte del cliente (ad esempio mancato pagamento).

Per i certificati EV, la revoca è obbligatoria quando la CA determina, a sua esclusiva discrezione, che il certificato non è stato rilasciato in conformità con i termini e le condizioni delle linee guida EV.

Titolo Codice


Revisione


Stato Rilasciato

00


4.9.5 Chi può richiedere la revoca

La revoca può essere richiesta dal sottoscrittore e/o titolare del certificato o dalla CA o RA.

L'identificazione del sottoscrittore che chiede la revoca di un certificato è effettuata secondo una procedura interna (cfr. 3.4).

In determinate circostanze il titolare ha l’obbligo di richiedere la revoca del certificato (vedere il paragrafo 9.5.3).

La revoca viene effettuata direttamente dalla CA o RA quando essa viene a conoscenza di condizioni che compromettono l’attendibilità del certificato o costituiscono grave e ripetuta inadempienza contrattuale da parte del cliente.

4.9.6 Procedura per la revoca

La sospensione e la revoca possono essere richieste alla CA utilizzando un apposito modulo di richiesta cartaceo sottoscritto dal rappresentante del cliente. Il modulo firmato inviato direttamente alla CA (mediante fax, posta ordinaria, posta elettronica).

La CA segnala al cliente l’avvenuta sospensione o revoca mediante posta elettronica, inviando una notifica all’indirizzo di e-mail indicato nel modulo di richiesta.

4.9.7 Frequenza di emissione della CRL

Vedere il paragrafo 4.10.1.

4.10 Servizi informativi sullo stato del certificato

La CA TI Trust Technologies mette a disposizione servizi di controllo dello stato del certificato, come CRL e OCSP e adeguate interfacce Web.

Lo stato dei certificati (attivo, sospeso, revocato) è reso disponibile a tutti gli interessati mediante pubblicazione della Certificate Revocation List (CRL) nel formato definito dalla specifica [RFC5280].

La CA rende disponibile anche un servizio OCSP (On-line Certificate Status Provider) conforme alla specifica [RFC2560], con caratteristiche tecniche non definite in questo CPS (riportate documento tecnico, disponibile su richiesta).

4.11 Cessazione del contratto

Il contratto di servizio stipulato tra CA e cliente si intende terminato:

alla data di scadenza naturale del certificato, oppure

alla data di attuazione della revoca del certificato (vedere la sezione 4.9).

4.12 Segnalazioni di problemi

Oltre alla revoca di un certificato, TI Trust Technologies rende disponibile a titolari, sottoscrittori, utenti finali che si affidano alla CA, fornitori e altre terze parti istruzioni chiare per la segnalazione di accertata o sospetta compromissione della chiave

Titolo Codice


Revisione


Stato Rilasciato

00


privata, uso improprio del certificato o altri tipi di frode, compromissione, uso improprio o comportamenti inappropriati relativi ai certificati. La CA TI Trust Technologies deve essere in grado di accettare, riconoscere e dare riscontro alle segnalazioni di problemi ai certificati su base 24x7.

4.13 Key escrow e key recovery

Con “key escrow” si intende l’affidamento di una copia della chiave di CA ad un soggetto esterno affidabile (es. un notaio). Nell’ambito del servizio erogato da TI Trust Technologies in base a questo CPS, il key escrow della chiave di CA non è previsto.

Il ripristino della chiave (key recovery) di certificazione è previsto, in caso di cancellazione involontaria o guasto o sostituzione del dispositivo HSM. Al fine di consentire il key recovery, la CA mantiene una copia di backup della chiave di CA (vedere il paragrafo 6.8).

Titolo Codice


Revisione


Stato Rilasciato

00


5 MISURE DI SICUREZZA FISICA ED OPERATIVA

L’infrastruttura tecnologica, le procedure operative, le misure di sicurezza fisica e logica ed il personale preposto all’erogazione del servizio descritto in questo CPS sono gli stessi utilizzati nell’ambito del servizio TI Trust Technologies di emissione e gestione dei certificati qualificati per firma digitale a norma di legge.

5.1 Sicurezza fisica

Il Centro Servizi di TI Trust Technologies è ubicato presso il Data Center Telecom Italia di Pomezia, con sede in SS 148 Pontina km 29,100.

Le misure di sicurezza implementate per la protezione fisica dei siti e dei locali che ospitano le piattaforme tecnologiche utilizzate per l’erogazione dei servizi di certificazione digitale si articolano su vari livelli.

Il primo livello di protezione è costituito dal confine di proprietà del sito che ospita il Data Center / Centro servizi ed impedisce l’accesso a soggetti e/o automezzi non autorizzati. La delimitazione fisica perimetrale sia che si riferisca a siti già esistenti sia che si tratti di nuove realizzazioni deve possedere idonei requisiti costruttivi quali altezza, spessore, materiali utilizzati, etc., ed essere integrata con sistemi attivi antintrusione, i cui principi di funzionamento offrano la massima affidabilità.

L’integrazione di protezioni attive e passive deve garantire la rilevazione attendibile degli eventi anomali (tentativi di intrusione, manomissioni, etc.) da parte del personale di Vigilanza. Tale funzione può essere soddisfatta da un sistema di videosorveglianza gestito dalla Vigilanza, che deve operare in un locale presso il quale saranno accentrati tutti i telecomandi di sicurezza e le segnalazioni di allarme.

Misure di sicurezza fisica per il primo livello di protezione sono:

Protezione Perimetrale Esterna (mura, recinzioni, sistemi elettronici);

Videosorveglianza analogica e digitale: un sistema di videosorveglianza a circuito chiuso (TVCC) con video registrazione, il controllo del perimetro è effettuato con impianti a raggi infrarossi;

Sbarre / Cancelli esterni, la cui apertura è a cura del personale di Vigilanza;

Controllo Accessi pedonali e carrai: un presidio di Vigilanza, che supervisiona i transiti, identifica i visitatori ed eventualmente autorizza l’accesso all’interno del sito;

Illuminazione;

Vigilanza h24x7;

Edifici dedicati.

Il secondo livello di protezione implementato, coincidente con il perimetro che delimita l’area o le aree dedicate agli ambienti valutabili di considerevole rilevanza

Titolo Codice


Revisione


Stato Rilasciato

00


strategica e le aree uffici, tutela l’accesso ai siti stessi. Misure di sicurezza fisica per il secondo livello di protezione sono:

Videosorveglianza analogica e digitale: un sistema di videosorveglianza a circuito chiuso (TVCC) con video registrazione;

Controllo Accessi tramite badge (di prossimità) e/o con riconoscimento biometrico;

Illuminazione, Bussole, Tornelli, Vetri antisfondamento, grate;

Vigilanza h24x7;

Frazionamento delle aree.

L’accesso ai siti è possibile solo attraverso un ingresso esterno regolamentato da sistemi di tornelli ad accesso singolo a lettura badge. Il controllo accessi riferito agli edifici che costituiscono le sedi di TI Trust Technologies avviene secondo quanto previsto dalle procedure di accesso ai siti di Telecom Italia.

Il terzo livello di protezione protegge le aree critiche che includono gli asset a maggior valore strategico e che costituiscono il core business aziendale. Sono considerate aree critiche, ad esempio:

le Sale TLC, ambienti dedicati ad ospitare switch, router e firewall

le Sale Sistemi, che ospitano i sistemi della CA

le Cage, “spazi chiusi” completamente dedicati ai sistemi - realizzate all’interno di sale sistemi - compartimentate per mezzo di una gabbia metallica, al fine di offrire un alto livello di sicurezza dei sistemi.

Misure di sicurezza fisica per il terzo livello di protezione sono:

Videosorveglianza analogica e digitale: un sistema di videosorveglianza a circuito chiuso (TVCC) con video registrazione;

Controllo Accessi tramite badge (di prossimità) e/o con riconoscimento biometrico;

Illuminazione;

Bussole, Cage;

Armadi blindati, Camere di sicurezza (Lamperz).

I Data Center dove opera TI Trust Technologies sono conformi alle direttive del Gruppo Telecom Italia:

hanno pareti esterne realizzate in cemento armato, con sale apparati delimitate da tramezzi realizzati con materiale da costruzione conforme alle norme antincendio;

la Sala Sistemi di TI Trust Technologies a Pomezia, è dotata di un impianto di videocitofono utilizzato per mettere in comunicazione le persone che non fanno parte dell’organizzazione del Centro con il personale all’interno della sala stessa che è così in grado di vedere e riconoscere l’interlocutore esterno.

Titolo Codice


Revisione


Stato Rilasciato

00


È inoltre collegata mediante videocitofono con la Guardiola per le eventuali comunicazioni di servizio;

tutti i supporti contenenti software di produzione e dei dati, audit, archivio o informazioni di backup vengono memorizzati all'interno di strutture con adeguati controlli di accesso fisici e logici volti a limitare l'accesso al personale autorizzato e proteggere tali supporti da danni accidentali (ad esempio, acqua, fuoco ed emissioni elettromagnetiche);

i rilievi strumentali effettuati presso il Data Center, allo scopo di valutare i livelli di emissione del campo elettrico e magnetico prodotto dagli impianti ivi esistenti, permettono di evidenziare il rispetto dei limiti di esposizione, dei valori di attenzione e degli obiettivi di qualità previsti dal DPCM 8 luglio 2003. Si evidenzia che secondo quanto previsto dalla normativa sono presi come riferimento, per la valutazione dell’esposizione professionale del personale che opera nel Data Center, i limiti più cautelativi previsti per la popolazione;

in tutti i locali protetti sono installati sensori volumetrici che rilevano i tentativi di passaggio nelle zone immediatamente sottostanti il sensore stesso e/o possibili mascheramenti. Questi sensori sono attivati dal personale della guardiania nell’orario di chiusura del Centro;

l’energia elettrica è fornita da un sistema a doppia cabina di distribuzione, che implementa un meccanismo di ridondanza per garantire la continuità: i punti di allaccio alla rete sono serviti da una doppia alimentazione con possibilità di isolamento e manutenzione di tutti i componenti. Tutti i quadri che forniscono la corrente elettrica alle apparecchiature delle piattaforme di erogazione sono alimentati da gruppi di continuità;

la continuità elettrica è garantita da gruppi statici di continuità, connessi in parallelo con modulo centrale di distribuzione e batterie con autonomia di molte ore. Tale impianto è asservito ad un sistema di gruppi elettrogeni di soccorso, di cui uno cabinato esterno, alimentati, all’occorrenza, tramite un deposito di combustibile costituito da serbatoi di gasolio di grande capacità;

tutti gli ambienti sono dotati di rilevatori antifumo e sistemi antincendio con attivazione degli impianti di spegnimento automatico degli incendi a saturazione di ambiente. Tutte le segnalazioni dell’impianto antincendio sono tempestivamente riportate sia al presidio interno di manutenzione sia al presidio di security, in modo che il personale addetto possa avvertire in tempi contenuti i soggetti individuati nello specifico piano di sfollamento della sede.

5.2 Sicurezza delle procedure

TI Trust Technologies definisce e mantiene un Piano della Sicurezza che analizza gli asset e descrive le misure tecniche ed organizzative atte a garantire un adeguato livello di sicurezza delle operazioni.

Tutte le procedure operative standard sono documentate e comprese nel Sistema integrato di Gestione della Qualità e della Sicurezza delle Informazioni di TI Trust Technologies, certificato secondo la norma ISO 9001:2008 e la norma ISO 27001:2005.

Titolo Codice


Revisione


Stato Rilasciato

00


5.3 Sicurezza del personale

Il personale addetto al servizio ha una pluriennale esperienza nel campo della definizione, sviluppo e gestione di servizi di PKI ed ha ricevuto una adeguata formazione sulle procedure e gli strumenti da utilizzare nelle varie fasi operative.

5.4 Logging degli eventi

I principali eventi relativi alla gestione del ciclo di vita dei certificati, incluse le richieste di certificazione, sospensione o revoca, etc. sono registrati in forma cartacea od elettronica. Sono inoltre registrati anche altri eventi quali: gli accessi logici al sistema di gestione dei certificato, le operazioni svolte dal personale TI Trust Technologies, l’entrata e l’uscita di visitatori nei locali in cui si svolge l’attività di certificazione, etc.

Di ogni evento viene registrata la tipologia, la data e l’ora di occorrenza e, se disponibili, altre informazioni utili ad individuare gli attori coinvolti nell’evento e l’esito delle operazioni.

In nessun caso viene registrata nei log la chiave privata della CA in alcuna forma (in chiaro o cifrata).

L’insieme delle registrazioni costituisce l’Audit log (per la CA si parla anche di Giornale di Controllo): i file che lo compongono vengono trasferiti – con le modalità previste per ogni tipologia di log – tutti i giorni su supporto permanente, con garanzia di integrità ed inalterabilità del dato.

5.5 Archiviazione dei dati

La CA conserva tutte le informazioni relative ai processi di emissione e gestione dei certificati, come le seguenti:

le richieste di emissione,

la documentazione fornita dai richiedenti,

le CSR (Certificate Signing Request) fornite dai richiedenti,

i dati anagrafici dei richiedenti e degli utilizzatori finali (ove siano soggetti diversi),

i risultati delle verifiche svolte dalla CA (visure camerali, interrogazioni sui record WHOIS, ecc.),

le richieste di revoca o sospensione,

tutti i certificati emessi,

gli audit log, per un periodo non inferiore a 20 anni.

Una copia di sicurezza (backup) dei dati, delle applicazioni, del giornale di controllo e di ogni altro file necessario al completo ripristino del servizio viene effettuata quotidianamente.

Titolo Codice


Revisione


Stato Rilasciato

00


5.6 Key Compromise e Disaster Recovery

Per “key compromise” s’intende la violazione di una o più condizioni vincolanti per l’erogazione del servizio di Certification Authority; per “disastro” s’intende un evento dannoso le cui conseguenze determinano l’indisponibilità del servizio in condizioni ordinarie.

A seguito di situazioni di compromissione della chiave privata della CA è prevista apposita procedura finalizzata al ripristino (recovery) dei servizi di certificazione, procedura che è indirizzata all’interno del Piano di Continuità Operativa (il Business Continuity Plan) di TI Trust Technologies.

Il ripristino da compromissione o disastro avviene in ogni caso nelle seguenti situazioni:

guasti di una o più delle apparecchiature usate per erogare i servizi di certificazione;

compromissione (es. rivelazione a terzi non autorizzati, perdita, ecc.) di una o più chiavi private di certificazione.

La procedura di ripristino a seguito di disastro prevede una distinzione dei Servizi in funzione del valore di RTO (Recovery Time Objective) da rispettare e dello SLA previsto. La distinzione è puramente basata sulla necessità di attivare per primi, e nel minor tempo possibile, i servizi “essenziali” che la normativa considera continuativi (ad esempio la Pubblicazione CRL) rispetto agli altri.

Titolo Codice


Revisione


Stato Rilasciato

00


6 MISURE DI SICUREZZA TECNICA


6.1 Generazione delle chiavi

6.1.1 Chiavi della CA

La coppia di chiavi usata dalla CA per firmare i certificati e le CRL è generata all'interno di un dispositivo crittografico che è almeno certificato FIPS 140-2 Level 3 o superiore, in un ambiente fisicamente sicuro.

6.1.2 Chiavi dei Subscriber

Il richiedente provvede normalmente a generare la propria coppia di chiavi con mezzi propri, seguendo le indicazioni della CA per quanto riguarda i livello di sicurezza minimo.

6.2 Distribuzione della chiave pubblica


La chiave pubblica della CA è distribuita internamente ai Certificati digitali nell'estensione AuthorityInformationAccess.


La chiave pubblica del soggetto che richiede il certificato viene fornita alla CA sotto forma di Certificate Signing Request (CSR) conforme allo standard PKCS#10 [RFC2314].

6.3 Lunghezza delle chiavi


Per firmare i certificati dei clienti e le CRL la CA TI Trust Technologies utilizza chiavi con un modulo lungo 2048 bit.


Le chiavi dei Subscriber devono avere lunghezza di (almeno) 2048 bit.

Titolo Codice


Revisione


Stato Rilasciato

00


6.4 Parametri di generazione e qualità delle chiavi


La CA usa una coppia di chiavi crittografiche a 2048 bit generate con algoritmo RSA, con esponente pubblico pari a 65537.


Di norma, il titolare del certificato usa una coppia di chiavi crittografiche a 2048 bit generate con algoritmo RSA.

La CA non si impegna a certificare chiavi utente generate con algoritmi diversi (ad esempio ECDSA).

6.5 Key usage (estensione X.509 v3)

Il certificato della CA include l’estensione KeyUsage con gli opportuni valori che indicano lo scopo della chiave privata:

Firma certificato,

Firma CRL.

6.6 Protezione della chiave privata

La coppia di chiavi usata dalla CA per firmare i certificati e le CRL è conservata all’interno di un HSM (Hardware Security Module) di alta qualità, dotato di certificazione di sicurezza secondo la norma FIPS PUB 140-2 a livello 3.

6.7 Standard di sicurezza dei moduli crittografici

Gli HSM (Hardware Security Module) utilizzati dalla CA sono dotati di livello minimo di sicurezza secondo la norma FIPS 140-2 Level 3, in conformità alla normativa attualmente in vigore.

6.8 Backup e ripristino della chiave privata

Allo scopo di garantire la continuità del servizio, la CA effettua una copia di backup delle chiavi della CA; la copia di backup viene conservata in luogo sicuro e distinto da quello in cui si trova la copia operativa (all’interno dello HSM).

Per le chiavi di CA è prevista una procedura specifica (‘CERTQUAL.IT.DPIO13000 - Copia di sicurezza delle chiavi di Certificazione’) per la copia in sicurezza delle stesse, esclusivamente per motivi di ripristino in caso di guasto o aggiornamento o sostituzione del dispositivo HSM.

Titolo Codice


Revisione


Stato Rilasciato

00


6.9 Compromissione della chiave privata

Se la chiave privata della CA è compromessa (o si presume possa esserlo), sarà immediatamente revocato il Certificato corrispondente. Saranno prese misure aggiuntive tra cui la revoca di tutti i certificati di utente finale (cfr. paragrafo 5.6).

6.10 Distruzione della chiave privata

Ove necessario, TI Trust Technologies provvede alla distruzione della chiave privata di CA in modo da garantire ragionevolmente che non vi siano resti residui della chiave che potrebbero portare alla ricostruzione della stessa.

Allo scopo TI Trust Technologies si avvale delle funzionalità messe a disposizione dagli stessi device crittografici (cfr. funzione ‘Erasing all keys’ descritta nella User Guide dell’HSM AEP SureWare Keyper Pro) e altri mezzi adeguati per assicurare la completa distruzione delle chiavi private della CA.

Quando eseguita, l’attività di distruzione della chiave di CA viene registrata (log e/o verbale).

6.11 Dati di attivazione

TI Trust Technologies memorizza e archivia in modo sicuro i dati di attivazione associati con la propria chiave privata.

Le operazioni della CA sono svolte esclusivamente dal personale addetto alla gestione operativa del servizio, sotto la responsabilità del Responsabile della Certificazione.

6.12 Requisiti di sicurezza degli elaboratori

I sistemi operativi usati dalla CA per la gestione dei certificati sono dotati di livello di sicurezza adeguata e segue le procedure di hardening definite a livello di Gruppo Telecom Italia. I sistemi operativi sono configurati in modo tale da richiedere sempre l’identificazione dell’utente mediante username e password oppure, nel caso dei sistemi più critici, mediante smartcard e relativo PIN.

Gli eventi di accesso ai sistemi sono loggati, come descritto nella sezione 5.4.

6.13 Sicurezza di rete

L’accesso agli host on-line della CA è protetto da firewall di alta qualità che garantiscono un adeguato filtraggio delle connessioni. Prima dei firewall, una batteria di router che implementano opportune ACL (Access Control List) costituisce un’ulteriore barriera di protezione.

Sui server del servizio di certificazione, tutte le porte di comunicazione non necessarie sono disattivate. Sono attivi esclusivamente quegli agenti che supportano i protocolli e le funzioni necessarie per il funzionamento del servizio.

Per irrobustire il filtraggio delle comunicazioni tutto il sistema di certificazione è suddiviso in un’area esterna, una interna ed una DMZ.

Titolo Codice


Revisione


Stato Rilasciato

00


TI Trust Technologies svolge almeno annualmente un assessment di sicurezza per verificare l’eventuale presenza di vulnerabilità di rete (Vulnerability Assessment), avvalendosi di specialisti indipendenti (Security Operation Center di Telecom Italia).

6.14 Riferimento temporale

Tutti i sistemi di elaborazione usati dalla CA sono allineati col segnale orario garantito dall’utilizzo di due orologi di qualità con NTP server incorporato4 che, mediante l’esecuzione di uno script periodico, mantengono allineati i server della piattaforma.

4 Time Server Meinberg©:

1. “LANTIME M300/PZF: DCF Time Server with integrated DCF77 radio clock”; 2. “LANTIME M300/GPS : NTP Time Server with integrated GPS radio clock”.

Titolo Codice


Revisione


Stato Rilasciato

00


7 PROFILO DEI CERTIFICATI E DELLE CRL

7.1 Profilo dei certificati

I certificati sono conformi allo standard internazionale ISO/IEC 9594-8:2005 [X.509 versione 3] e alla specifica pubblica RFC 5280. Inoltre recepiscono i requisiti minimi per il rilascio e la gestione di certificati pubblici attendibili (c.d. Baseline Requirements) e le linee guida EV per l'emissione e gestione dei certificati di tipo Extended Validation, definiti dal CA/Browser Forum.

La CA emittente compila i campi issuer e subject di ciascun certificato rilasciato dopo l'adozione dei requisiti di cui sopra in conformità con quanto indicato nella Certificate Policy.

Con il rilascio del certificato, la CA dichiara di aver seguito la procedura descritta nella sua CPS per provare che, alla data di emissione del certificato, tutte le informazioni relative al subject erano accurate.

7.2 Profilo della CRL

Le CRL sono conformi allo standard internazionale ISO/IEC 9594-8:2005 [X.509 versione 2] e alla specifica pubblica RFC 5280.

Oltre ai dati obbligatori, le CRL contengono:

il campo nextUpdate (data prevista per la prossima emissione della CRL) l’estensione cRLNumber (numero progressivo della CRL)

7.3 Profilo dell’OCSP

L’OCSP è conforme alla specifica pubblica RFC 2560.

La CA mantiene traccia del profilo OCSP in un documento tecnico indipendente, reso disponibile, su richiesta, a discrezione di TI Trust Technologies.

Titolo Codice


Revisione


Stato Rilasciato

00


8 VERIFICHE DI CONFORMITÀ


TI Trust Technologies è un certificatore per la firma digitale qualificata, accreditato presso AgID. Di conseguenza, TI Trust Technologies è soggetta a un periodico accertamento di conformità (“vigilanza”) da parte di AgID ed è inoltre tenuta a svolgere periodiche ispezioni interne.

8.1 Frequenza e circostanze dalle verifiche

Le ispezioni esterne, da parte da AgID, sono svolte con periodicità bi-annuale.

Le ispezioni interne sono svolte nel rispetto di un piano che prevede frequenze diverse (da mensile ad annuale) per i diversi aspetti tecnico-operativi del servizio di CA.

8.2 Identità e qualificazione degli ispettori

Le ispezioni interne sono svolte dal responsabile Auditing di TI Trust Technologies, qualificato come security auditor secondo la norma internazionale ISO 27001 (“Information technology - Security techniques - Information security management systems - Requirements”).

8.3 Relazioni tra la CA e gli ispettori

Non esiste alcuna relazione tra la CA e AgID che possa in alcun modo influenzare l’esito delle ispezioni a favore di TI Trust Technologies.

Il responsabile Audit di TI Trust Technologies è un dipendente che riporta direttamente alla Direzione ed è pertanto indipendente dalla struttura organizzativa preposta all’erogazione del servizio di CA.

8.4 Argomenti coperti dalle verifiche

L’ispezione svolta da AgID è finalizzata a verificare la conformità del servizio CA di TI Trust Technologies alle norme di legge, dal punto di vista tecnico ed organizzativo. L’ispezione di AgID segue delle Linee Guida basate sulla norma europea ETSI TS 101 456 (“Policy requirements for certification authority issuing qualified certificates”).

L’ispezione interna è principalmente rivolta a verificare l’integrità del “giornale di controllo” (audit log), ed il rispetto delle procedure operative della CA.

Titolo Codice


Revisione


Stato Rilasciato

00


8.5 Azioni conseguenti alle non-conformità

In caso di non-conformità, AgID richiede alla CA di adottare le necessarie misure correttive entro un certo arco di tempo, pena la sospensione o revoca dell’accreditamento.

8.6 Comunicazione dei risultati delle verifiche

Il risultato dell’ispezione svolta da AgID viene condiviso con la CA interessata attraverso un verbale di ispezione.

Il risultato dell’ispezione interna viene comunicato alla Direzione e ai responsabili della struttura organizzativa preposta all’erogazione del servizio di CA.

Titolo Codice


Revisione


Stato Rilasciato

00


9 CONDIZIONI GENERALI DEL SERVIZIO

Le “condizioni generali del servizio” sono fornite all’utente anche come documento separato, da accettare in fase di richiesta, disponibile sul sito web della CA (vedere il paragrafo 2.2).

9.1 Tariffe del servizio

Le tariffe massime del servizio sono pubblicate sul sito web della CA: http://www.trusttechnologies.it.

Condizioni diverse possono essere negoziate caso per caso, in base ai volumi richiesti.

Le tariffe del servizio sono soggette a modifiche senza preavviso.

9.2 Responsabilità finanziaria

TI Trust Technologies ha stipulato un'apposita assicurazione a copertura dei rischi dell’attività e degli eventuali danni derivanti dall'erogazione del servizio di certificazione.

9.3 Tutela della riservatezza e trattamento dei dati personali

TI Trust Technologies è titolare dei dati personali raccolti in fase di identificazione e registrazione dei soggetti che richiedono i certificati e si obbliga quindi a trattare tali dati con la massima riservatezza e nel rispetto di quanto previsto dal Decreto Legislativo n.196 del 2003 [DLGS196].

Nel caso in cui l’attività di identificazione e registrazione degli utenti avvenga presso una struttura delegata (RA), quest’ultima è qualificata come “incaricato del trattamento”.

9.3.1 Informativa ai sensi del D.Lgs. 196/03

TI Trust Technologies, titolare del trattamento dei dati forniti dal titolare, informa il titolare stesso, ai sensi e per gli effetti di cui al [DLGS196], che tali dati personali saranno trattati mediante archivi cartacei e strumenti informatici e telematici idonei a garantirne la sicurezza e la riservatezza nel rispetto delle modalità indicate nel succitato Decreto.

I dati forniti dal richiedente si distinguono in obbligatori e facoltativi. I dati obbligatori sono necessari allo svolgimento del servizio; il loro mancato conferimento da parte del titolare comporta l’impossibilità di concludere il contratto. Si noti che la pubblicazione del certificato comporta la diffusione a terzi, an-che in paesi al di fuori dell’Unione Europea, delle informazioni contenute nel certificato stesso. I dati facoltativi agevolano semplicemente il servizio; il loro mancato conferimento non ostacola la conclusione del contratto.

I dati forniti dal richiedente sono trattati esclusivamente per le finalità di rilascio o rinnovo dei certificati, e potranno essere comunicati alle società che forniscono

Titolo Codice


Revisione


Stato Rilasciato

00


consulenza ed assistenza tecnica ad TI Trust Technologies. In relazione a tali trattamenti di dati, il titolare potrà esercitare i diritti di cui al [DLGS196].

9.3.2 Archivi contenenti dati personali

Gli archivi contenenti dati personali sono:

il database di registrazione

l’archivio della documentazione cartacea

Gli archivi sopra elencati sono gestiti dal responsabile della registrazione, e sono adeguatamente protetti dagli accessi non autorizzati.

9.3.3 Misure di tutela della riservatezza

TI Trust Technologies, in qualità di certificatore, tratta i dati personali nel rispetto del [DLGS196] e successive modificazioni, ponendo in opera misure di sicurezza rispondenti almeno ai requisiti del Capo II (“Misure minime di sicurezza”) dello stesso decreto. In particolare, TI Trust Technologies:

mantiene un aggiornato “Piano della Sicurezza” (PdS)

adotta un opportuno sistema di controllo degli accessi agli archivi

adotta opportune procedure di gestione delle credenziali di autenticazione

mantiene un registro permanente (audit log) degli accessi agli archivi

effettua periodicamente copie di sicurezza dei dati, al fine di garantirne il ripristino

Limitatamente al servizio erogato sulla base di questo CPS, il certificatore non raccoglie e non tratta “dati sensibili” né “dati giudiziari” ai sensi dell’articolo 4 del [DLGS196].

9.4 Diritti di proprietà intellettuale

Il presente CPS è di proprietà di TI Trust Technologies che si riserva tutti i diritti ad esso relativi.

Il titolare del certificato mantiene tutti gli eventuali diritti sui propri marchi commerciali (brand name) e sul proprio nome di dominio.

Relativamente alla proprietà di altri dati ed informazioni si applicano le leggi vigenti.

9.5 Obblighi e garanzie

9.5.1 Certification Authority

La CA si impegna a:

operare in conformità a questo CPS;

identificare i richiedenti come descritto in questo CPS;

emettere e gestire i certificati come descritto nel presente CPS;

Titolo Codice


Revisione


Stato Rilasciato

00


fornire un efficiente servizio di sospensione o revoca dei certificati;

garantire che il titolare possedeva, al momento dell’emissione del certificato, la corrispondente chiave privata;

segnalare tempestivamente l’eventuale compromissione della propria chiave privata;

fornire informazioni chiare e complete sulle procedure e requisiti del servizio;

rendere disponibile una copia di questo CPS a chiunque ne faccia richiesta;

garantire un trattamento dei dati personali conforme alle norme vigenti;

fornire un servizio informativo efficiente ed affidabile sullo stato dei certificati.

9.5.2 Registration Authority

Nel caso in cui la RA sia un soggetto esterno ad TI Trust Technologies, gli obblighi della RA sono definiti nell’apposito contratto di delega.

9.5.3 Soggetto richiedente o Titolare

Il soggetto richiedente o titolare (Subscriber) ha l’obbligo di:

leggere, comprendere ed accettare integralmente questo CPS;

richiedere il certificato con le modalità previste da questo CPS;

generare in modalità sicura la coppia di chiavi pubblica-privata, utilizzando un sistema affidabile;

fornire alla CA informazioni esatte e veritiere in fase di registrazione;

adottare misure tecniche ed organizzative idonee atte ad evitare la compromissione della propria chiave privata;

richiedere immediatamente la revoca del certificato nel caso di sospetta o accertata compromissione della propria chiave privata;

richiedere immediatamente la revoca del certificato nel caso in cui una o più delle informazioni contenute nel certificato (es. ragione sociale, indirizzo del sito web, etc.) perdano di validità;

successivamente all’emissione e fino alla scadenza o revoca del certificato, avvisare prontamente la CA di ogni variazione alle informazioni fornite in fase di richiesta;

al momento della eventuale revoca del certificato, cessare immediatamente l’uso del certificato e rimuovere prontamente il certificato dal sito web sul quale esso è installato.

Inoltre, i titolari dei certificati server si impegnano a:

installare il certificato esclusivamente sui siti web previsti (come indicati nel certificato stesso) e gestire tali siti web solo per scopi consentiti dalle norme vigenti.

Titolo Codice


Revisione


Stato Rilasciato

00


9.5.4 Utente finale

Gli utenti finali, ossia tutti i soggetti (diversi dal Soggetto richiedente o Titolare) che si affidano ai certificati emessi secondo questo CPS, hanno l’obbligo di:

compiere uno sforzo ragionevole per acquisire sufficienti informazioni sul funzionamento dei certificati e delle PKI;

verificare lo stato dei certificati emessi da TI Trust Technologies sulla base di questo CPS, accedendo ai servizi informativi descritti nella sezione 4.10;

fare affidamento su un certificato solo se esso non è scaduto, sospeso o revocato.

9.6 Esclusione di garanzie

La CA non ha ulteriori obblighi e non garantisce nulla più di quanto espressamente indicato in questo CPS (vedere la sezione 9.5.1) o previsto dalle norme vigenti.

9.7 Limitazioni di responsabilità

La CA declina ogni responsabilità per gli eventuali danni subiti da chiunque a causa del mancato rispetto, da parte del cliente o soggetti terzi, di una o più parti di questo CPS.

La CA declina ogni responsabilità per gli eventuali danni sofferti dal cliente a causa della mancata ricezione delle comunicazioni della CA in conseguenza di un errato indirizzo di e-mail fornito in fase di richiesta.

Fatti salvi i limiti inderogabili di legge, la responsabilità di TI Trust Technologies, a qualsiasi titolo derivante dal presente CPS, sussisterà solo nei casi di dolo o colpa grave.

9.8 Risarcimenti

I clienti sono obbligati al risarcimento dei danni eventualmente sofferti da TI Trust Technologies nei seguenti casi:

falsa dichiarazione nella richiesta di certificazione;

omessa informazione su atti o fatti essenziali per negligenza o con l’obiettivo di raggirare TI Trust Technologies;

utilizzo di nomi (per es. nomi di dominio, marchi commerciali) in violazione dei diritti di proprietà intellettuale.

9.9 Durata e terminazione

Questo CPS entra in vigore al momento della sua pubblicazione (vedere il capitolo 2) e resta in vigore fino al momento della sua eventuale sostituzione con una nuova versione.

Titolo Codice


Revisione


Stato Rilasciato

00


9.10 Comunicazioni

TI Trust Technologies accetta comunicazioni relative a questo CPS, da inviare con le modalità indicate nel paragrafo 1.5, e si impegna a rispondere entro una settimana lavorativa.

9.11 Emendamenti

TI Trust Technologies si riserva facoltà di modificare questo CPS in qualsiasi momento, senza preavviso.

9.12 Risoluzione delle dispute

Qualsiasi controversia derivante dal presente CPS tra TI Trust Technologies ed i clienti del servizio è deferita al giudizio di un collegio arbitrale. La sede dell’arbitrato sarà Roma.

9.13 Legge applicabile

Questo CPS è soggetto alla legge italiana e come tale sarà interpretato ed eseguito. Per quanto non espressamente previsto nel presente CPS, valgono le norme vigenti.

Altri contratti in cui questo CPS è incorporato mediante riferimento possono contenere clausole distinte rispetto alla legge applicabile.

9.14 Conformità con le norme applicabili

Alla data di emissione del presente CPS, TI Trust Technologies non è a conoscenza di norme di legge relative al tipo di servizio qui descritto. In ogni caso, questo CPS è soggetto alle norme applicabili.

9.15 Forza maggiore

TI Trust Technologies non sarà responsabile della mancata esecuzione delle obbligazioni qui assunte qualora tale mancata esecuzione sia dovuta a cause non imputabili ad TI Trust Technologies, quali - a scopo esemplificativo e senza intento limitativo - caso fortuito, disfunzioni di ordine tecnico assolutamente imprevedibili e poste al di fuori di ogni controllo, interventi dell’Autorità, cause di forza maggiore, calamità naturali, scioperi anche aziendali - ivi compresi quelli presso soggetti di cui le parti si avvalgano nell’esecuzione delle attività connesse al servizio qui descritto - ed altre cause imputabili a terzi.

CAITWCER.TT.PRPO14999 – Certification Practice Statement ... · 4.11 Cessazione del contratto ......

Documents

Transcript of CAITWCER.TT.PRPO14999 – Certification Practice Statement ... · 4.11 Cessazione del contratto ......