Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD...

29
Certificate Policy Certificati di Autenticazione per la Carta Nazionale dei Servizi Codice documento: CP_CNS Redazione: Tiziana Balegno Approvazione: Franco Tafini Data emissione: 18/05/2005 Revisione: 00

Transcript of Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD...

Page 1: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy

Certificati di Autenticazione per la

Carta Nazionale dei Servizi

Codice documento: CP_CNS

Redazione: Tiziana Balegno

Approvazione: Franco Tafini

Data emissione: 18/05/2005

Revisione: 00

Page 2: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 2 di 29

REVISIONI

Revisione n° : 00 Data Revisione : 18/05/2005

Descrizione modifiche : Nessuna

Motivazioni : Prima emissione

Page 3: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 3 di 29

Sommario

A. Introduzione.........................................................................................................................5 Proprietà intellettuale .............................................................................................................5 Applicabilità............................................................................................................................5 Validità ...................................................................................................................................5 Riferimenti di legge ................................................................................................................6 Riferimenti tecnici...................................................................................................................7 Definizioni e acronimi.............................................................................................................8

B. Dati identificativi del Certificatore...................................................................................13

C. Dati identificativi della versione della Certificate Policy ..............................................14

D. Responsabile della Certificate Policy .............................................................................15

E. Soggetti coinvolti nel processo di emissione della CNS..............................................16 E.1. Obblighi dell’Ente Emettitore........................................................................................16 E.2. Obblighi del Produttore.................................................................................................17 E.3. Obblighi del Certificatore..............................................................................................17 E.4. Obblighi dei Titolari.......................................................................................................18 E.5. Obblighi inerenti l’utilizzo un certificato ........................................................................18

F. Responsabilità e limitazioni agli indennizzi ...................................................................19 F.1. Responsabilità del Certificatore....................................................................................19 F.2. Assicurazione ...............................................................................................................19 F.3. Limitazioni agli indennizzi .............................................................................................19

G. Tariffe .................................................................................................................................20

H. Modalità di identificazione e registrazione degli utenti ................................................21 H.1. Identificazione degli utenti............................................................................................21 H.2. Registrazione degli utenti.............................................................................................21

I. Chiavi di Certificazione ......................................................................................................22

J. Modalità di emissione dei certificati di CNS...................................................................23

K. Informazioni contenute nei certificati di autenticazione ..............................................26

L. Modalità di revoca e sospensione dei certificati di autenticazione di CNS................27 L.1. Revoca dei certificati di autenticazione di CNS............................................................27

L.1.1. Revoca su richiesta del Titolare ............................................................................27 L.1.2. Revoca su richiesta dell’Ente Emettitore...............................................................28 L.1.3. Revoca su iniziativa del Certificatore.....................................................................28

L.2. Sospensione dei certificati di autenticazione di CNS...................................................28

Page 4: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 4 di 29

M. Modalità di sostituzione delle chiavi ..............................................................................29 M.1. Sostituzione dei certificati di autenticazione di CNS ...................................................29

Page 5: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 5 di 29

A. Introduzione

Il presente documento descrive le procedure messe in atto dall’Ente Certificatore INTESA relative all’emissione e all’uso dei Certificati di Autenticazione per la Carta Nazionale dei Servizi.

Il certificato digitale garantisce l’associazione tra una chiave pubblica ed il titolare dello stesso, pertanto l’affidabilità della corrispondenza può dipendere da diversi fattori dipendenti sia dalle garanzie offerte dal Certificatore stesso che dalla cura posta dal titolare del certificato nella conservazione della propria chiave privata.

Pertanto i certificati di autenticazione per la Carta Nazionale dei Servizi, così come quelli di sottoscrizione per la firma qualificata, sono emessi su richiesta di un titolare, e rilasciati su un dispositivo sicuro (smart card) solo successivamente all’identificazione fisica dello stesso da parte dell’Ente Emettitore (o soggetto da lui delegato).

Proprietà intellettuale La presente Certificate Policy è di esclusiva proprietà di IN.TE.S.A. S.p.A., che è Titolare di ogni relativo diritto intellettuale.

Applicabilità Il presente documento costituisce la "Certificate Policy dei Certificati di Autenticazione per la Carta Nazionale dei Servizi" del Certificatore Accreditato IN.TE.S.A. S.p.A., al quale d'ora in poi si farà riferimento anche come Certificatore. Questo documento descrive le regole e le procedure operative del Certificatore INTESA per l’emissione dei certificati di autenticazione di CNS.

Validità

Quanto descritto in questo documento si applica al Certificatore INTESA S.p.A., relativamente all’emissione e l’utilizzo dei Certificati di Autenticazione per la Carta Nazionale dei Servizi (CNS). Tali certificati sono emessi dal Certificatore utilizzando le stesse chiavi di certificazione utilizzate per la firma dei certificati qualificati. Il Certificatore ha infatti ottenuto dal Centro Nazionale per l’Informatica nella Pubblica Amministrazione l’autorizzazione, come previsto dall’ Art.5 del DPCM 13/01/04, che le stesse chiavi di certificazione siano utilizzate per le seguenti finalità addizionali: 1. generazione e verifica delle firme associate ai certificati di autenticazione per

l’utilizzo nell’ambito della emissione della Carta Nazionale dei Servizi (CNS),

2. generazione e verifica delle firme associate a certificati di crittografia.

Per informazioni sul Certificatore INTESA, si rimanda al documento “Manuale Operativo Certificati Qualificati”, disponibile presso il sito internet del Certificatore.

Page 6: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 6 di 29

Riferimenti di legge

DPCM 437 22/10/99

Decreto del Presidente del Consiglio dei Ministri del 22 ottobre 1999, n. 437 Regolamento recante caratteristiche e modalità per il rilascio della carta di identità elettronica e del documento di identità elettronico, a norma dell'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificato dall'articolo 2, comma 4, della legge 16 giugno 1998, n. 191.

DPR 445/00 Decreto del Presidente della Repubblica del 28 dicembre 2000, n.445. "Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa", pubblicato sulla Gazzetta Ufficiale n.42 del 20 febbraio 2001.

DL 10 23/01/02

Recepimento della Direttiva 1999/93/CE sulla firma elettronica. (G.U. n.39 del 15 Febbraio 2002)

DPR 137 07/04/03

Regolamento recante disposizioni di coordinamento in materia di firme elettroniche a norma dell'Articolo 13 del decreto legislativo 23 gennaio 2002, n. 10. (G.U. n.138 del 17 Giugno 2003)

DLGS 196 30/06/03

Codice in materia di protezione dei dati personali. (G.U. n.174 del 29 luglio 2003, suppl. ord.)

DPCM 13/01/04

Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici. (G.U. n.98 del 27 Aprile 2004)

DPR 117 02/03/04

Decreto del Presidente della Repubblica 2 marzo 2004, n. 117

Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell’articolo 27, comma 8, lettera b), della L. 16 gennaio 2003, n.3. (G.U. n. 105 del 6 maggio 2004)

Decreto 9/12/2004

Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta nazionale dei servizi(G.U. n.296 del 18/12/2004)

LG 09/05/2005

Linee guida per l’emissione e l’utilizzo della carta nazionale dei servizi V2.4

Page 7: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 7 di 29

Riferimenti tecnici

RFC 3280 RFC 3280 (2002): "Internet X.509 Public Key Infrastructure Certificate and CRL Profile

RFC 3161 RFC 3161 (2001): “ Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP)”

ISO/IEC 9594-8 2001:(E)

Information Technology – Open Systems Interconnection – The Directory: Authentication 01/08/2001

Framework; ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8

RFC 2527 RFC 2527 (1999): “Internet X.509 Public Key Infrastructure Certificate Policy and

Certification Practices Framework”

RFC 3039 RFC 3039 (2001) Internet X.509 Public Key Infrastructure Qualified Certificates Profile

MO-QUAL Intesa – Manuale Operativo Certificati Qualificati

Page 8: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 8 di 29

Definizioni e acronimi Sono qui riportati i significati di acronimi e di termini specifici aggiuntivi rispetto a quanto indicato nel DPR 445/0, nel DPCM 13/01/04 e nel DPR 117 02/03/04 , ai quali si rimanda. Non sono riportati i significati di alcuni acronimi e termini specifici di uso comune.

Termine o acronimo

Significato Riferimento

AA Attribute Authority (vedi). AC Attribute Certificate (vedi). Analisi dei rischi

Vedi Risk Assessment.

Attribute Authority

Autorità considerata affidabile da uno o più utenti per creare e assegnare Attribute Certificate (vedi). (An authority trusted by one or more users to create and sign attribute certificates)

PKIX Road-map

Attribute Certificate

Struttura di dati contenente un insieme di attributi di una End Entity e ulteriori informazioni, firmata in modo digitale con la chiave privata della AA che l'ha emessa. (A data structure containing a set of Attributes for an end-entity and some other information, which is digitally signed with the private key of the AA which issued it)

PKIX Road-map

CA Certificate Authority (vedi). Carta Nazionale dei Servizi

Carta a microprocessore che permette l’accesso ai servizi on-line della Pubblica Amministrazione.

Certificate Authority

Autorità considerata affidabile da uno o più utenti per creare e assegnare PKC. In Italia si preferisce il termine "Certificatore", come definito dal DPR 445/00/97. (Certification Authority (CA) – An authority trusted by one or more users to create and assign public key certificates)

PKIX Road-map

Certificate Policy

Un insieme di norme, contraddistinto da un codice, che indica l'applicabilità di un certificato ad una particolare comunità e/o a una classe di applicazioni aventi comuni esigenze di sicurezza. (A named set of rules that indicates the applicability of a certificate to a particular community and/or class of application with common security requirements)

RFC 2527

Certificate Revocation List

Un elenco firmato che riporta un insieme di certificati non più considerati validi dal Certificatore che li ha emessi. (A signed list indicating a set of certificates that are no longer considered valid by the certificate issuer)

ISO 9594-8:2001(E) 01/08/2001

Certificate Suspension List

Lista dei certificati sospesi che generalmente viene inclusa nella CRL

Page 9: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 9 di 29

Certification Practice Statement

Una dichiarazione delle prassi seguite da un Certificatore nell'emettere e gestire certificati. (A statement of the Practices which a certification authority employs in issuing certificates)

RFC 2527

CNS Carta Nazionale dei Servizi (vedi). CP Certificate Policy (vedi). RFC 2527 CPS Certification Practice Statement (vedi). RFC 2527 CRL Certificate Revocation List (vedi). ISO 9594-

8:2001(E) 01/08/2001

CSL Certificate Suspension List (vedi) Diffie – Hellman

Un metodo basato su chiavi pubblicato nel 1976 da Whitfield Diffie e Martin Hellman [DH76, R2631]. A key agreement algorithm published in 1976 by Whitfield Diffie and Martin Hellman [DH76, R2631].

RFC 2828

End Entity Il Titolare di un certificato che non sia la CA in una PKI o la AA in una PMI. (A subject of a certificate who is not a CA in the PKI or an AA in the PMI)

PKIX Road-map

FIPS Federal Information Processing Standard. Firewall Un collegamento tra due reti che controlla il traffico di dati da e per

una di esse (quella cosiddetta "interna" al firewall) proteggendone così le risorse da minacce provenienti dall'altra rete (quella cosiddetta "esterna" al firewall). (An internetwork gateway that restricts data communication traffic to and from one of the connected networks (the one said to be "inside" the firewall) and thus protects that network's system resources against threats from the other network (the one that is said to be "outside" the firewall)

RFC 2828

HASH Funzione che prende in input una stringa di lunghezza variabile e ritorna una stringa di lunghezza fissa

HSM Hardware Security Module Dispositivi hardware dedicati per la sicurezza crittografica e la gestione delle chiavi in grado di garantire un elevato livello di protezione.

ICT Information and Communication Technology Tecnologia dell'Informatica e delle Telecomunicazioni. Il dipartimento che gestisce i sistemi informatici e telematici.

IETF Internet Engineering Task Force. ITSEC Information Technology Security Evaluation Criteria

Insieme strutturato di criteri per la valutazione della sicurezza dei computer nell'ambito di prodotti e sistemi. (ITSEC is a structured set of criteria for evaluating computer security within products and systems)

LDAP Lightweight Directory Access Protocol. RFC 1777 RFC 2251

Page 10: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 10 di 29

LRA Local Registration Authority Entità opzionale di una PKI con le responsabilità di una RA (vedi); tale ruolo può essere affidato sia a dipendenti del Certificatore, sia a Pubblici Ufficiali ai quali il Certificatore ha conferito specifici incarichi, sia ad altri soggetti debitamente incaricati e autorizzati dal Certificatore. In ogni caso la responsabilità delle operazioni di registrazione, identificazione e validazione è di INTESA S.p.A..

NIST National Institute of Standards and Technology. NTP Network Time Protocol

Protocollo per la sincronizzazione del tempo RFC 1305

Object Identifier

Sequenza di numeri, registrata secondo la procedura definita dallo standard ISO/IEC 6523, che identifica un determinato oggetto all’interno di una gerarchia.

OID Object Identifier (vedi). PKC Public Key Certificate (vedi). PKCS Public Key Cryptography Standard. RSA

LaboratoriesPKI Public Key Infrastructure (vedi). PKIX Gruppo di Lavoro (Working Group – WG) attivato dallo IETF (vedi)

per definire gli standard relativi a PKI basate su certificati X.509 (da cui il nome di PKIX: PKI X.509 based certificate), che poi diventeranno RFC.

PMI Privilege Management Infrastructure (vedi). Privilege Management Infrastructure

L'insieme di AC, con i relativi AA, Titolari, utenti degli AC e registri di certificati. (A collection of Acs, with their issuing AA's, subjects, relying parties, and repositories)

PKIX Road-map

Public Key Certificate

Certificato di Chiave Pubblica: una struttura di dati contenente la chiave pubblica di una End Entity (vedi) e altre informazioni, che è firmato in modo digitale con la chiave privata della CA (vedi) che l'ha emesso. (A data structure containing the public key of an end-entity and some other information, which is digitally signed with the private key of the CA which issued it)

PKIX Road-map

Public Key Infrastructure

Insieme di hardware, software, persone, norme e procedure necessarie per creare, gestire, conservare, distribuire e revocare i PKC basati su crittografia a chiave pubblica. (The set of hardware, software, people, policies and procedures needed to create, manage, store, distribute, and revoke PKCs based on public-key cryptography)

PKIX Road-map

Page 11: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 11 di 29

RA Registration Authority (vedi). Registration Authority

Un'entità opzionale di una PKI, (separata dalla CA) che non firma né i certificati né le CRL, ma ha la responsabilità di registrare o verificare alcune o tutte le informazioni (in particolare modo le identità dei Titolari) necessarie alla CA per emettere i certificati e le CRL e per effettuare altre operazioni di gestione dei certificati. Un'entità opzionale cui è data la responsabilità di effettuare alcune mansioni amministrative necessarie alla registrazione dei Titolari, quali: confermare l'identità del Titolare, confermare che il Titolare ha il diritto che sul suo certificato siano riportati i dati richiesti, verificare che è in possesso della chiave privata associata con la chiave pubblica di cui è richiesta la certificazione.

RFC 2828 PKIX Road-map

RFC An RFC (Request For Comments) is a document describing the standards that make the Internet work

RIPEMD-160

Funzione di hash crittografico a 160 bit

Risk Assessment

Un procedimento che: • individua in modo sistematico le principali risorse di un sistema e

le minacce cui possono essere esposte; • valuta i potenziali rischi di perdite e danni in base ad una stima

della frequenza con cui possono presentarsi le minacce stesse e del costo che deriverebbe da un loro eventuale successo;

• (opzionalmente) fornisce raccomandazioni su come mettere in atto contromisure in grado di ridurre al minimo il rischio complessivo.

(A process that systematically identifies valuable system resources and threats to those resources, quantifies loss exposures (i.e., loss potential) based on estimated frequencies and costs of occurrence, and (optionally) recommends how to allocate resources to countermeasures so as to minimise total exposure)

RFC 2828

Page 12: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 12 di 29

Security Policy

Insieme di regole e norme che specificano o regolamentano le modalità con cui un sistema o un'organizzazione fornisce servizi di sicurezza per proteggere risorse di sistema critiche o riservate. (A set of rules and practices that specify or regulate how a system or organisation provides security services to protect sensitive and critical system resources)

RFC 2828

SHA-1 Funzione di hash crittografico a 160 bit SP Security Policy (vedi). Terzo Interessato

Persona fisica o giuridica, che dà il consenso a che il Titolare richieda che nel certificato siano specificati eventuali poteri di rappresentanza, titoli o cariche rivestite.

TSR Time Stamp Request Richiesta di marca temporale

RFC 3161

Titolare Soggetto intestatario del certificato. Time Stamping Authority

Autorità che rilascia marche temporali ETSI TS 102 023

TOE Target Of Evaluation. È quella parte di prodotto o sistema che è oggetto di valutazione e comprende anche la relativa documentazione per la sua gestione e utilizzo da parte di amministratori di sistema e di utenti finali. (The TOE is that part of the product or system which is to be subjected to evaluation, including its associated administrator and user guidance documentation)

TSA Time Stamping Authority (vedi) ETSI TS 102 023

TU Testo Unico DPR 445/2000 e sue successive modifiche Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa

URL Uniform Resource Locator. RFC 1738 RFC 1808 RFC 2368

UTC Coordinated Universal Time Scala del tempo basata sul secondo

ITU-R Recommendation TF,460-5

Page 13: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 13 di 29

B. Dati identificativi del Certificatore

Il Certificatore, di cui il presente documento costituisce la "Certificate Policy per l’emissione del Certificati di autenticazione di CNS", è la società IN.TE.S.A. S.p.A., di cui di seguito sono forniti i dati identificativi.

Denominazione sociale IN.TE.S.A. S.p.A.

Indirizzo della sede legale Via Caraglio 84, 10141 Torino

Legale Rappresentante Massimo Zannori, Direttore Generale e Amministratore Delegato

Registro delle Imprese di Torino N. Iscrizione 1692/87

N. di Partita I.V.A. 05262890014

N. di telefono (centralino) +39-011-0050.311

Sito Internet e-trustcom.intesa.it

N. di fax +39-011-0050.475

Indirizzo di posta elettronica [email protected]

Indirizzo (URL) registro dei certificati

ldap://x500.e-trustcom.intesa.it

ISO Object Identifier (OID) 1.3.76.21.1

Il Certificato dell’Autorità di Certificazione INTESA, utilizzato per la sottoscrizione dei certificati di autenticazione di CNS, è presente nella lista sottoscritta dal Centro Nazionale per lnformatica nella Pubblica Amministrazione, disponibile sul sito del Dipartimento e sul sito del Certificatore.

Page 14: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 14 di 29

C. Dati identificativi della versione della Certificate Policy

Il presente documento costituisce la versione n.00, rilasciata il 18/05/2005, della Certificate Policy per i Certificati di Autenticazione di CNS del Certificatore IN.TE.S.A S.p.A.

L’object identifier di questo documento è 1.3.76.21.1.1.1.21.

La presente "Certificate Policy" è pubblicata e consultabile per via telematica anche presso l'indirizzo Internet

http://e-trustcom.intesa.it/ca_pubblica/certificate-policyCNS.pdf

La pubblicazione di versioni aggiornate della presente policy verranno pubblicate sul sito sopra indicato solo successivamente al loro inoltro al Centro Nazionale per l’Informatica nella Pubblica Amministrazione.

Page 15: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 15 di 29

D. Responsabile della Certificate Policy

Il Responsabile della presente Certificate Policy è:

Franco Tafini

IN.TE.S.A. S.p.A. Indirizzo: Via Caraglio 84, 10141 Torino N. Telefono: +39-011-0050.311 N. Fax: +39-011-0050.475 Indirizzo di Posta Elettronica: [email protected]

Page 16: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 16 di 29

E. Soggetti coinvolti nel processo di emissione della CNS

Per permettere una reale disponibilità dei servizi on-line sempre più presenti nella Pubblica Amministrazione è stato necessario predisporre strumenti e modalità di accesso sicuri e facili da utilizzare. Per evitare comunque la proliferazione di strumenti di identificazione digitali non standard e non interoperabili, benché basati su certificati digitali, è stato pensata e disegnata la Carta Nazionale dei Servizi (CNS).

Possono emettere la CNS tutte le Pubbliche Amministrazioni ed in particolare il Decreto 9/12/2004 descrive i seguenti soggetti coinvolti nel circuito di emissione della CNS:

- Ente Emettitore Ente responsabile della formazione e del rilascio della CNS, è la Pubblica Amministrazione che rilascia la CNS ed è responsabile della sicurezza del circuito di emissione e del rilascio della carta, garantendo la corretta gestione del ciclo di vita della CNS

- Produttore Azienda che esegue le fasi di produzione secondo gli standard della CNS, provvede alla fornitura delle carte a microprocessore con un chip compatibile con quello previsto dalla CNS. Applica al supporto fisico l’artwork e gli elementi costanti.

- Certificatore Ente che presta servizi di certificazione delle informazioni necessarie per l’autenticazione o per la verifica delle firme elettroniche.

Di seguito sono descritte le condizioni generali con cui il Certificatore INTESA eroga il servizio di certificazione oggetto della presente policy.

E.1. Obblighi dell’Ente Emettitore L’Ente Emettitore è responsabile delle seguenti attività:

- definire le procedure del sistema di emissione e gestione della CNS in modo da essere conforme alle specifiche di qualità previste dalla norma ISO 9000 e soddisfare i requisiti minimi di sicurezza previsti dalla normativa in particolare per quanto attiene al trattamento dei dati personali (DLGS 196 30/06/03);

- predisporre un manuale operativo che riporti le procedure seguite per tutto il ciclo di vita della CNS (emissione, gestione, revoca, rinnovo);

- predisporre un manuale utente che descriva le modalità d’uso della CNS;

- predisporre un piano di sicurezza relativo all’intero circuito di emissione;

- identificare e registrare i dati dei titolari mediante un documento di riconoscimento valido;

- successivamente prima della personalizzazione della carta verificare i dati identificativi utilizzando il sistema informativo del Ministero dell’Interno – Centro Nazionale dei Servizi Demografici (fatto salvo quanto previsto dall’art. 9 del Decreto del Presidente della Repubblica concernente regolamento recante disposizioni per la diffusione e uso della carta nazionale dei servizi);

Page 17: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 17 di 29

- comunicare al Certificatore tutti i dati acquisiti in fase di identificazione per permettere l’attivazione della procedura di emissione del certificato;

- predisporre e/o affidare a terzi (ad esempio al Produttore) un sistema per la personalizzazione della smart card;

- consegnare la CNS e la/e busta/e contenente/i PIN ed PUK al titolare, previa verifica dell’identità dello stesso;

- allestire delle strutture per l’assistenza agli utenti, la gestione dei malfunzionamenti e l’eventuale sostituzione o rinnovo delle carte in scadenza, il ritiro della CNS prima dell’emissione di una nuova carta e del suo rinnovo.

E.2. Obblighi del Produttore Il produttore delle smart card deve rispettare le specifiche del sistema operativo e della struttura della carta (file system), pubblicate sul sito del Centro Nazionale per l’Informatica nella Pubblica Amministrazione.

Le attività a carico del Produttore sono le seguenti:

- produzione del supporto fisico della CNS;

- inizializzazione delle smart card;

- creazione delle condizioni necessarie per controllare l’accesso ai file.

Ogni consegna di lotti di CNS deve essere accompagnata da distinta cartacea o elettronica da consegnare all’ente Emettitore dalla quale si evinca il numero di CNS inizializzate ed i relativi numeri seriali.

E.3. Obblighi del Certificatore Il Certificatore è responsabile dell’emissione dei certificati di autenticazione della CNS sulla base delle informazioni anagrafiche raccolte dall’Ente Emettitore durante la fase di registrazione.

Presso il Centro Nazionale dell’Informatica per la Pubblica Amministrazione è disponibile l’elenco dei Certificatori che rilasciano certificati di autenticazionedi CNS.

Il Certificatore si fa carico di:

- adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; - attenersi alle regole tecniche di cui all'Art.8 del TU; - informare i richiedenti, in modo compiuto e chiaro, sulla procedura di certificazione e

sui necessari requisiti tecnici per accedervi; - attenersi alle misure di sicurezza per il trattamento dei dati personali (DLGS 196

30/06/2003; - rilasciare il certificato di autenticazione; - procedere alla pubblicazione della revoca e della sospensione del certificato

elettronico in caso di richiesta da parte del Titolare o dell’Ente Emettitore, di perdita del possesso della chiave, di provvedimento dell'autorità, di acquisizione della

Page 18: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 18 di 29

conoscenza di cause limitative della capacità del Titolare, di sospetti abusi o falsificazioni;

- garantire il funzionamento efficiente, puntuale e sicuro dei servizi di elencazione, nonché garantire un servizio di revoca e sospensione dei certificati elettronici sicuro e tempestivo;

- assicurare la precisa determinazione della data e dell'ora di rilascio, di revoca e di sospensione dei certificati elettronici.

E.4. Obblighi dei Titolari Il Titolare è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri (Art.28, comma 1, TU).

Il Titolare della CNS deve inoltre:

- non essere Titolare di una carta d’identità elettronica; - conservare con la massima diligenza le chiavi private e il dispositivo che le contiene

al fine di garantirne l'integrità e la massima riservatezza; - non duplicare le chiavi private né il dispositivo che le contiene; - conservare le informazioni di abilitazione all'uso delle chiavi private in luogo diverso

dal dispositivo contenente le chiavi; - conservare con la massima diligenza i codici segreti, al fine di garantirne la massima

riservatezza; - non utilizzare le chiavi per funzioni diverse da quelle previste dalla loro tipologia; - richiedere immediatamente la revoca dei certificati relativi alle chiavi contenute nel

dispositivo difettoso o di cui abbia perduto il possesso; - sottoscrivere la richiesta di revoca specificandone la motivazione e la sua decorrenza; - sottoscrivere la richiesta di sospensione specificando la motivazione.

E.5. Obblighi inerenti l’utilizzo un certificato L’utilizzo dei certificati di autenticazione di CNS deve prevedere le seguenti operazioni:

• verificare la validità del certificato contenente la chiave pubblica del Titolare prima del suo utilizzo;

• verificare l'assenza del certificato dalle Liste di Revoca (CRL) e Sospensione (CSL) dei certificati e il momento della sua emissione;

• verificare la validità del percorso di certificazione, basandosi sull'elenco pubblico dei certificatori fornito da CNIPA;

• verificare la validità della tipologia delle chiavi usate dal Titolare, in base alle estensioni dello standard ISO 9594-8;

• verificare l’ambito di utilizzo del certificato, le limitazioni di responsabilità ed i limiti di indennizzo del Certificatore e dell’Ente Emettitore;

• adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri.

Page 19: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 19 di 29

F. Responsabilità e limitazioni agli indennizzi

F.1. Responsabilità del Certificatore INTESA è responsabile, verso i Titolari, per l'adempimento di tutti gli obblighi discendenti dall'espletamento delle attività previste dal TU, dal DPCM 13/01/04, dal Decreto 9/12/2004, dalla Legge 196/03 e successive modificazioni e integrazioni (Vedi paragrafo E.3 "Obblighi del Certificatore"). INTESA non assume altresì responsabilità per le conseguenze derivanti dal mancato rispetto delle modalità operative specificate in questa Certificate Policy da parte del Titolare e degli utilizzatori dei certificati.

INTESA non potrà essere ritenuta responsabile delle conseguenze dovute a cause ad essa non imputabili, quali, a solo titolo di esempio: calamità naturali, disfunzioni tecniche e logistiche al di fuori del suo controllo, interventi dell'autorità, rivolte o atti di guerra che colpiscano anche o solo i soggetti delle cui attività INTESA si avvale per la prestazione dei propri servizi di certificazione.

F.2. Assicurazione Il Certificatore ha stipulato un contratto assicurativo per la copertura dei rischi dell'attività e dei danni causati a terzi, il cui contenuto è in linea con quanto necessario per svolgere l'attività professionale di cui trattasi.

Di tale contratto è stato inviata al Centro Nazionale per l’Informatica nella Pubblica Amministrazione apposita dichiarazione di stipula.

La copertura Assicurativa prevede i seguenti massimali:

· 500.000,00 (cinquecentomila) euro per singolo sinistro

· 2.500.000,00 (duemilionicinquecentomila) euro per annualità.

F.3. Limitazioni agli indennizzi Il Certificatore, fatto salvo i casi di dolo e colpa grave, esclude ogni responsabilità per danni subiti dagli utenti o da terzi in conseguenza di:

· mancato rispetto delle procedure e delle regole stabilite dal Certificatore stesso;

· danno causato da disservizio;

· uso improprio dei certificati di autenticazione da parte di applicazioni di terze parti.

Il Certificatore non si ritiene, peraltro, responsabile dei danni causati agli utenti Titolari e utilizzatori o a terzi, conseguenti al non rispetto, da parte del Titolare, delle regole definite nella presente Certificate Policy.

Il Certificatore si assume ogni responsabilità assegnata dal TU ai soggetti che svolgono funzione di Certificatore.

Page 20: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 20 di 29

G. Tariffe

Sono previste tariffe relative all’emissione ed al rinnovo del Certificato di Autenticazione di CNS. Tali tariffe, disponibili presso gli Uffici del Certificatore, sono in funzione delle quantità trattate e soggette all’andamento del mercato

Le richieste di revoca e sospensione del certificato di autenticazione sono gratuite.

Page 21: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 21 di 29

H. Modalità di identificazione e registrazione degli utenti

H.1. Identificazione degli utenti L’attività di identificazione dei Richiedenti i certificati di CNS viene svolta dall’Ente Emettitore, che ricopre anche il ruolo di LRA esterna per i certificati di sottoscrizione presenti sulla stessa CNS, secondo la modalità prevista nel documento MO-QUAL.

Le modalità operative necessarie all’identificazione e autenticazione del Richiedente sono riportate nel Manuale Operativo dell’Ente Emettitore.

H.2. Registrazione degli utenti Successivamente alla fase di identificazione, l’Ente Emettitore invia al Certificatore i dati dei Richiedenti in lotti; la comunicazione viene sempre rigorosamente effettuata su canale sicuro. Il personale dell’Ufficio RA di INTESA provvede quindi alla registrazione dei dati dei Titolari sugli archivi del Certificatore.

Page 22: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 22 di 29

I. Chiavi di Certificazione

Il sistema di PKI utilizzato dal Certificatore per l’emissione dei certificati di autenticazione di CNS è lo stesso utilizzato per l’emissione dei certificati qualificati. In particolare per la firma dei certificati vengono utilizzate le stesse chiavi di certificazione. Si rimanda pertanto al documento MO-QUAL per la descrizione della gestione del sistema da parte del Certificatore.

Page 23: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 23 di 29

J. Modalità di emissione dei certificati di CNS

Nel seguito viene descritto il processo di emissione dei certificati di CNS da parte del Certificatore Intesa, con il dettaglio del flusso informativo tra i vari attori nello svolgimento delle attività previste.

Il processo presuppone che l’attività di personalizzazione della CNS sia eseguita dal Produttore delle smart card di CNS, essendo comunque sempre di responsabilità dell’Ente Emettitore, in conformità a LG 09/05/2005 e successive.

Lo schema seguente illustra sinteticamente le diverse fasi del processo:

------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------

Il responsabile della registrazione raccoglie i dati dei richiedenti e li invia in lotti al Certificatore attraverso canale sicuro

Ente Emettitore

Certificatore Il Certificatore, tramite il proprioufficio di Registration Authority,genera i certificati di autenticazioneche devono essere immessi a bordodelle carte e invia i corrispondenti fileP12 al Produttore mediante canalesicuro

Il Certificatore produce, ove richiesto, il certificato di sottoscrizione per ognirichiedente e lo immette a bordo delle corrispondenti carte

L’Ente Emettitore si occupadella distribuzione delle CNS edelle buste cieche ai Titolari

Produttore L’addetto incaricatoproduce le carte con lagrafica personalizzata eimmette a bordo i file P12

Il responsabile del processo diproduzione invia le carte alCertificatore mediantetrasporto sicuro

Il responsabile del processopresso il Certificatore invia i lottidi CNS e le buste cieche con icodici di accesso all’EnteEmettitore mediante trasportosicuro

Page 24: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 24 di 29

Intesa, in qualità di Certificatore, procederà all’identificazione di tutte le figure esterne coinvolte nel processo di emissione, in modo analogo a quanto previsto nell’ambito del servizio di certificazione della firma digitale.

Le varie fasi del processo di emissione possono essere così descritte:

� Fase1: L’Ente Emettitore, come previsto da LG 09/05/2005 e successive, per l’emissione dei certificati qualificati svolge funzioni di LRA per le fasi di identificazione del cittadino per conto del Certificatore. Tale funzione è descritta nel documento MO-QUAL. L’identificazione dei Richiedenti per i certificati di autenticazione è completamente a carico dell’Ente Emettitore. Il personale incaricato raccoglie i dati anagrafici dei titolari e provvede alla creazione dei file di input necessari per generare il/i certificato/i da immettere a bordo della smart card. Per la raccolta dei dati, gli incaricati possono utilizzare un apposito applicativo sviluppato da Intesa che garantisce la completezza e l’integrità delle informazioni fornite.

I dati necessari per la generazione del certificato di autenticazione sono i seguenti:

• Codice Emettitore

• Cognome

• Nome

• Data di Nascita

• Codice Fiscale.

Nel caso il Richiedente della CNS abbia effettuato anche la richiesta di certificato qualificato e tale richiesta sia stata accettata dall’Ente Emettitore tramite verifica delle credenziali, ai dati per l’emissione del certificato di autenticazione saranno aggiunti anche quelli relativi alla firma qualificata.

I file contenenti i dati personali dei Richiedenti la CNS, secondo la tabella di “Definizione dei Dati Personali” di LG 09/05/2005 e successive, vengono inviati ad Intesa su canale sicuro, utilizzando sistemi di crittografia simmetrica di lunghezza pari a 128 bit, come richiesto dallo stesso documento.

� Fase 2: L’incaricato della gestione presso il Certificatore effettua un controllo formale sui dati ricevuti dall’Ente Emettitore e produce i certificati di autenticazione, generando un file in formato pkcs#12 per ogni Richiedente ed un unico file in formato testo contenente tutti i dati personali. I dati così ottenuti vengono inviati al Produttore tramite canale sicuro.

� Fase 3: Il Produttore incarica un responsabile della messa in produzione del lotto di smart card. Mediante una postazione di produzione massiva vengono prodotte le smart card e su ognuna, nell’area “Dati personali”, vengono inserite le seguenti informazioni:

• il certificato di autenticazione

Page 25: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 25 di 29

• chiave privata relativa al certificato di autenticazione

• dati personali.

� Fase 4: Le CNS così prodotte e le relative buste cieche contenenti il codice PUK, per lo sblocco della carta, vengono inviate al Certificatore, predisponendo le opportune misure di sicurezza fisica per la protezione delle carte e delle buste durante lo spostamento delle stesse, facendole accompagnare da regolari bolle di consegna che saranno verificate dal responsabile della Sicurezza del Certificatore.

� Fase 5: Il Certificatore aggiunge, se richiesto, il certificato di sottoscrizione per ogni Richiedente con le modalità e le regole valide per questo tipo di certificato, illustrate nel MO-QUAL. Per ogni smart card, vengono inoltre generate le buste cieche contenenti i codici PIN di accesso alle chiavi private dei certificati presenti.

� Fase 6: Il responsabile del processo presso il Certificatore invia i lotti di CNS e le buste cieche prodotti all’Ente Emettitore predisponendo le opportune misure di sicurezza fisica di protezione delle carte e delle buste. A tale scopo vengono utilizzati trasporti con regolari bolle di consegna.

� Fase 7: L’ultima fase riguarda la distribuzione ai titolari delle CNS con a bordo i certificati richiesti. L’Ente Emettitore procede alla distribuzione delle CNS e delle buste cieche.

Page 26: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 26 di 29

K. Informazioni contenute nei certificati di autenticazione

I certificati di autenticazione di CNS emessi da INTESA aderiscono allo standard ISO 9594-8-2001, in conformità con il dettato delle LG 09/05/2005 e successive.

Le informazioni contenute nel certificato sono:

a. numero di serie del certificato qualificato;

b. denominazione sociale dei Certificatore;

c. codice fiscale del Titolare;

d. identificativo univoco della smart card (ID_Carta);

e. valore dell’hash calcolato sul file elementare con i dati personali del Titolare come memorizzato nel dispositivo;

f. valore della chiave pubblica;

g. algoritmi di generazione e verifica utilizzabili;

h. data d’inizio e di fine del periodo di validità delle chiavi;

i. algoritmo di sottoscrizione del certificato;

j. utilizzo chiave, tramite l'estensione X.509 Key Usage, impostato al valore “digitalSignature”;

k. utilizzo avanzato della chiave, tramite l'estensione X.509 Extended Key Usage, impostato al valore “TLS WWW Client Authentication”;

l. policy di riferimento del certificato: nel campo “policyIdentifier” dell’estensione “certificatePolicies” (OID 2.5.29.32) sono presenti i seguenti valori:

• 1.3.76.16.2.1 che identifica i certificati di autenticazione per il progetto italiano di CNS in accordo alla normativa vigente

• 1.3.76.21.1.1.1.21 che identifica la presente CPS del Certificatore; m. modalità di reperimento delle CRL (CRL Distribution Point);

n. chiave utilizzata dal Certificatore (Authority Key Identifier);

o. chiave del Titolare (Subject Key Identifier).

In aggiunta viene riportato anche l'indirizzo e-mail, seppur non obbligatorio.

Fatto salvo quanto sopra esposto, l’identificazione del Titolare avviene mediante l'uso del Distinguished Name (DN) come previsto nello standard ISO 9594-1 (2001). In particolare, l’attributo CommonName contiene le informazioni relative ai precedenti punti c), d) e).

L’attributo countryName viene impostato al Country Code ISO 3166 dello Stato in cui il Titolare è residente.

L’attributo organizationalUnitName contiene la denominazione dell’Ente Emettitore che rilascia la CNS.

Page 27: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 27 di 29

L. Modalità di revoca e sospensione dei certificati di autenticazione di CNS

L.1. Revoca dei certificati di autenticazione di CNS La revoca o la sospensione dei certificati di CNS viene eseguita su iniziativa del Certificatore, su richiesta dell’Ente Emettitore ovvero del Titolare.

La revoca o la sospensione dei certificati di CNS viene asseverata dal loro inserimento nella lista (CRL), che contiene sia quelli revocati sia quelli sospesi.

Il profilo delle CRL/CSL è conforme con lo RFC 3280.

La CRL, firmata dal Certificatore, viene aggiornata con periodicità prestabilita. Nei casi in cui la revoca ovvero la sospensione avvenga su iniziativa del Certificatore o dell’Ente Emettitore, il Certificatore notifica al Titolare la richiesta e il momento in cui entrerà in vigore l'evento.

Un certificato di autenticazione di CNS deve essere revocato nei seguenti casi:

1. compromissione (ovvero perdita delle caratteristiche di sicurezza e univocità) della chiave privata del Titolare;

2. cambiamento dei dati del Titolare;

3. cessazione dalle mansioni per le quali sono stati rilasciati i certificati al Titolare;

4. mancato rispetto da parte del Titolare degli obblighi specificati nel presente documento ovvero nel Manuale Operativo dell’Ente Emettitore.

La revoca del certificato di autenticazione da parte del Certificatore sarà effettuata nell’arco delle 24 ore successive alla ricezione della richiesta.

In tutti i casi, sarà cura dell’Ente Emettitore ritirare la CNS contenente il certificato revocato/sospeso ed eventualmente provvedere alla emissione di una nuova. A tale scopo si rimanda al Manuale Operativo dell’Ente Emettitore.

L.1.1. Revoca su richiesta del Titolare

Nei casi in cui il Titolare necessiti di richiedere la revoca del certificato di CNS, dovrà compilare il documento di Richiesta di Revoca disponibile presso il sito del Certificatore. Il documento dovrà essere inviato al Certificatore con le seguenti modalità:

1. invio di un messaggio di posta elettronica all'indirizzo [email protected] con allegato il documento di richiesta di revoca compilato e firmato elettronicamente, nel caso il cui il Titolare disponga di un certificato di firma qualificata;

2. invio di un messaggio di posta elettronica all'indirizzo [email protected] con allegato il documento di richiesta di revoca compilato;

3. invio del documento di richiesta di revoca compilato via fax al numero indicato all’URL http://www.hda.intesa.it/, oppure via posta ordinaria, all’indirizzo sempre indicato all’URL http://www.hda.intesa.it/.

Page 28: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 28 di 29

Nei casi 2. e 3. il Titolare sarà contattato dal personale INTESA per la comunicazione del Codice di Emergenza.

Eccezionalmente, nel caso in cui la motivazione della richiesta di revoca sia la compromissione della chiave privata, il Titolare potrà telefonare al numero fornito dal Certificatore al momento del rilascio del certificato a lui intestato. Egli dovrà fornire i dati relativi al certificato e il Codice di Emergenza. In questo caso il certificato indicato sarà temporaneamente sospeso in attesa della richiesta scritta del Titolare.

L.1.2. Revoca su richiesta dell’Ente Emettitore

La richiesta di revoca da parte dell’Ente Emettitore può avvenire secondo le modalità elencate nei punti 2. e 3. del precedente paragrafo.

L.1.3. Revoca su iniziativa del Certificatore

Il Certificatore può revocare i certificati di autenticazione, informando anticipatamente della revoca sia Titolari interessati sia l’Ente Emettitore, dando indicazione del motivo della revoca e della data di decorrenza.

L.2. Sospensione dei certificati di autenticazione di CNS Modalità analoghe a quelle seguite per la revoca dei certificati verranno seguite anche in caso di una loro sospensione.

La sospensione di un certificato è prevista nel caso in cui si debba fare un supplemento di indagine per verificare se debba essere revocato o no (ad esempio nei casi in cui si tema la compromissione della chiave privata o lo smarrimento/furto del dispositivo di firma, o si debbano fare riscontri per avere certezza dell'effettiva cessazione del Titolare dalla mansione per la quale gli era stato emesso il certificato, ecc.).

La richiesta di sospensione può essere avanzata dal Certificatore, dall’Ente Emettitore e dal Titolare.

Sarà cura del richiedente comunicare con modalità analoghe a quelle utilizzate per la richiesta di sospensione, la richiesta di riattivazione o di revoca del certificato precedentemente sospeso. In assenza di comunicazioni, il certificato verrà automaticamente revocato dopo un periodo di tre giorni dalla sospensione.

Page 29: Certificate Policy Certificati di Autenticazione per la ...e-trustcom.intesa.it/ca_pubblica/OLD LISTACER/certificate-policyCNS… · Il presente documento costituisce la "Certificate

Certificate Policy - EnteCertificatore INTESA

Pagina 29 di 29

M. Modalità di sostituzione delle chiavi

M.1. Sostituzione dei certificati di autenticazione di CNS La durata della validità dei certificati di autenticazione di CNS emessi dal Certificatore viene decisa dall’Ente Emettitore.

Le modalità per il rinnovo dei certificati sono indicate nel Manuale Operativo dell’Ente Emettitore.