Servizio di Certificazione...

Servizio di Certificazione Digitale

Certification Practice Statement

Distribuzione: PUBBLICA

Codice documento: ISP - GSC - 311 - 2014 - 01

Società Servizio Codice Anno Versione

ISP-GSC-311-2014-01 Certification Practice Statement

Il contenuto del presente documento è di proprietà di Intesa Sanpaolo S.p.A. Tutti i diritti riservati.

Pagina ii

STORIA DELLE MODIFICHE

Versione Data emissione Descrizione delle modifiche

01 23/05/2014 Prima versione



Pagina iii

SOMMARIO

1. GENERALITÀ ....................................................................................................................... 7

1.1 Scopo del documento .................................................................................................. 7

1.2 Riferimenti alle norme di legge ................................................................................... 7

1.3 Riferimenti agli standard ............................................................................................. 7

1.4 Definizioni e acronimi .................................................................................................. 8

2. INTRODUZIONE .................................................................................................................. 9

2.1 Dati identificativi del Certificatore .............................................................................. 9

2.2 Dati identificativi e versione del documento ............................................................... 9

2.3 Partecipanti alla PKI .................................................................................................... 10 2.3.1 Certification Authorities ............................................................................................... 10 2.3.2 Registration Authorities ............................................................................................... 10 2.3.3 Utenti Finali (Titolari) .................................................................................................. 11 2.3.4 Relying Parties ............................................................................................................ 11

2.4 Uso dei Certificati ........................................................................................................ 11

2.5 Amministrazione del CPS ............................................................................................. 11

3. PUBBLICAZIONE E REGISTRO DEI CERTIFICATI ............................................................... 12

3.1 Registro dei Certificati ................................................................................................. 12

3.2 Informazioni Pubblicate .............................................................................................. 12

3.3 Frequenza delle Pubblicazioni ..................................................................................... 12

3.4 Modalità di accesso al Registro dei Certificati ............................................................. 12

4. IDENTIFICAZIONE E AUTENTICAZIONE ............................................................................. 13

4.1 Naming......................................................................................................................... 13 4.1.1 Tipologie di Nomi ........................................................................................................ 13 4.1.2 Nome della CA ............................................................................................................ 13 4.1.3 Nome del Titolare ....................................................................................................... 13

4.2 Modalità di identificazione e registrazione degli utenti .............................................. 13 4.2.1 Identificazione dei richiedenti ...................................................................................... 14 4.2.2 Verifiche svolte dal Certificatore in fase di registrazione ................................................. 14

4.2.2.1 Meccanismo di pre-autorizzazione per certificati SSL/TLS ................................ 14

4.3 Identificazione e Autenticazione per le richieste di rinnovo ....................................... 15 4.3.1 Identificazione e autenticazione per rinnovo ordinario ................................................... 15 4.3.2 Identificazione e autenticazione per rinnovo a seguito di revoca .................................... 15 4.3.3 Identificazione e autenticazione per le richieste di revoca .............................................. 15

5. REQUISITI OPERATIVI PER LA GESTIONE DEI CERTIFICATI ............................................ 16

5.1 Richiesta dei certificati ................................................................................................ 16

5.2 Elaborazione delle richieste dei certificati ................................................................... 16

5.3 Emissione dei certificati ............................................................................................... 16 5.3.1 Operazioni effettuate dalla CA ..................................................................................... 16 5.3.2 Notifica al Titolare ....................................................................................................... 16

5.4 Accettazione dei certificati .......................................................................................... 16 5.4.1 Criteri di accettazione dei certificati .............................................................................. 16 5.4.2 Pubblicazione dei certificati da parte della CA ............................................................... 17

5.5 Utilizzo della coppia di chiavi e dei certificati.............................................................. 17 5.5.1 Utilizzo da parte del Titolare ........................................................................................ 17 5.5.2 Utilizzo da parte delle Relying Parties ........................................................................... 17



Pagina iv

5.6 Rinnovo dei certificati .................................................................................................. 17

5.7 Rigenerazione delle chiavi ........................................................................................... 17

5.8 Modifica dei Certificati ................................................................................................. 17

5.9 Revoca dei Certificati ................................................................................................... 18 5.9.1 Circostanze per la revoca del certificato ........................................................................ 18 5.9.2 Soggetti che possono richiedere la revoca .................................................................... 18 5.9.3 Procedura di revoca per richiesta del Titolare................................................................ 18 5.9.4 Procedura di revoca per richiesta della CA .................................................................... 18 5.9.5 Grace Period delle richieste di revoca ........................................................................... 19 5.9.6 Requisiti per la verifica della validità dei Certificati ........................................................ 19 5.9.7 Frequenza di pubblicazione della CRL ........................................................................... 19 5.9.8 Latenza massima per la CRL ........................................................................................ 19 5.9.9 Disponibilità del servizio di verifica on-line dello stato dei Certificati ............................... 19 5.9.10 Requisiti per la verifica on-line dello stato dei Certificati ................................................ 19

5.10 Servizi informativi sullo stato dei Certificati ........................................................... 19 5.10.1 Caratteristiche Operative ............................................................................................. 19 5.10.2 Disponibilità del servizio .............................................................................................. 20

5.11 Cessazione del contratto ......................................................................................... 20

5.12 Key escrow e key recovery ...................................................................................... 20

6. CONTROLLI OPERATIVI, GESTIONALI E DI FACILITY ....................................................... 21

6.1 Controlli di Sicurezza Fisica ......................................................................................... 21 6.1.1 Ubicazione e Costruzione ............................................................................................. 21 6.1.2 Controlli di Accesso Fisico ............................................................................................ 21 6.1.3 Gruppi di Continuità e Sistemi di Condizionamento ........................................................ 21 6.1.4 Prevenzione da allagamenti ......................................................................................... 21 6.1.5 Prevenzione antincendio .............................................................................................. 21 6.1.6 Dismissione dei rifiuti .................................................................................................. 21 6.1.7 Backup Off-Site........................................................................................................... 21

6.2 Controlli Procedurali .................................................................................................... 22 6.2.1 Definizione dei ruoli .................................................................................................... 22 6.2.2 Numerosità del personale richiesto per attività .............................................................. 22 6.2.3 Identificazione e Autenticazione per ciascun Ruolo ........................................................ 22 6.2.4 Ruoli per cui è richiesta la separazione dei Compiti ....................................................... 22

6.3 Controlli sul Personale ................................................................................................. 22 6.3.1 Qualifiche ed esperienza del personale ......................................................................... 22 6.3.2 Verifiche sulla qualità del personale ............................................................................. 22 6.3.3 Requisiti per la Formazione del Personale ..................................................................... 23 6.3.4 Frequenza di erogazione della Formazione ................................................................... 23 6.3.5 Job Rotation ............................................................................................................... 23 6.3.6 Sanzioni a seguito di azioni non autorizzate .................................................................. 23 6.3.7 Requisiti per Enti Terzi ................................................................................................ 23 6.3.8 Documentazione fornita al personale............................................................................ 23

6.4 Procedure di Logging ................................................................................................... 23 6.4.1 Tipologia di eventi registrati ........................................................................................ 23 6.4.2 Frequenza di elaborazione dei log ................................................................................ 23 6.4.3 Periodo di conservazione dei log di audit ...................................................................... 24 6.4.4 Protezione dei log di audit ........................................................................................... 24 6.4.5 Procedure di backup dei log di audit............................................................................. 24 6.4.6 Vulnerability Assessment ............................................................................................. 24

6.5 Archiviazione dei dati .................................................................................................. 24 6.5.1 Tipologie di informazioni archiviate .............................................................................. 24 6.5.2 Periodo di conservazione dei dati archiviati ................................................................... 24 6.5.3 Protezione dell’archivio ................................................................................................ 24



Pagina v

6.5.3.1 Persone che possono accedere all’archivio ...................................................... 24 6.5.3.2 Protezione dell’integrità dell’archivio ............................................................... 24 6.5.3.3 Protezione dell’archivio dalla cancellazione ..................................................... 24 6.5.3.4 Protezione dell’archivio dal deterioramento ..................................................... 24 6.5.3.5 Protezione dell’archivio dall’obsolescenza ....................................................... 24

6.5.4 Procedure di backup dell’archivio ................................................................................. 25 6.5.5 Procedure per accedere e verificare le informazioni dell’Archivio .................................... 25

6.6 Rinnovo delle chiavi della CA ....................................................................................... 25 6.6.1 Rinnovo chiavi Enterprise CA ....................................................................................... 25

6.7 Compromissione e Disaster Recovery ......................................................................... 25 6.7.1 Procedure di gestione degli incidenti ............................................................................ 25 6.7.2 Procedure di recovery in caso di compromissione di Risorse, Software o Dati ................. 25 6.7.3 Procedure di gestione dei casi di compromissione delle chiavi del Certificatore ................ 25

6.7.3.1 Compromissione dei dispositivi utilizzati per erogare i servizi di certificazione ... 25 6.7.3.2 Compromissione della chiave privata del Certificatore ..................................... 26

6.7.4 Processo di Business Continuity a seguito di disastro ..................................................... 26

6.8 Cessazione della CA ..................................................................................................... 26

7. MISURE TECNICHE DI SICUREZZA ..................................................................................... 27

7.1 Generazione delle Chiavi ............................................................................................. 27 7.1.1 Enterprise CA ............................................................................................................. 27 7.1.2 Titolari ....................................................................................................................... 27

7.2 Distribuzione della chiave pubblica ............................................................................. 27 7.2.1 Enterprise CA ............................................................................................................. 27 7.2.2 Titolari ....................................................................................................................... 27

7.3 Lunghezza delle chiavi ................................................................................................. 27 7.3.1 Enterprise CA ............................................................................................................. 27 7.3.2 Titolari ....................................................................................................................... 27

7.4 Parametri di generazione e qualità delle chiavi .......................................................... 28 7.4.1 Enterprise CA ............................................................................................................. 28 7.4.2 Titolari ....................................................................................................................... 28

7.5 Key Usage (estensione X.509 v3) ................................................................................ 28 7.5.1 Enterprise CA ............................................................................................................. 28 7.5.2 Titolari ....................................................................................................................... 28

7.6 Protezione della chiave privata ................................................................................... 28 7.6.1 Enterprise CA ............................................................................................................. 28 7.6.2 Titolari ....................................................................................................................... 28

7.7 Standard di sicurezza dei moduli crittografici ............................................................. 28

7.8 Multi-Person Control (N di M) della chiave privata ..................................................... 28 7.8.1 Enterprise CA ............................................................................................................. 28 7.8.2 Titolari ....................................................................................................................... 29

7.9 Escrow della chiave privata ......................................................................................... 29

7.10 Backup della chiave privata .................................................................................... 29 7.10.1 Enterprise CA ............................................................................................................. 29 7.10.2 Titolari ....................................................................................................................... 29

7.11 Archiviazione della chiave privata........................................................................... 29 7.11.1 Enterprise CA ............................................................................................................. 29 7.11.2 Titolari ....................................................................................................................... 29

7.12 Trasferimento della chiave privata da/al Modulo Crittografico .............................. 29 7.12.1 Enterprise CA ............................................................................................................. 29 7.12.2 Titolari ....................................................................................................................... 29

7.13 Metodi di attivazione della chiave privata .............................................................. 29 7.13.1 Enterprise CA ............................................................................................................. 29



Pagina vi

7.13.2 Titolari ....................................................................................................................... 29

7.14 Metodi di disattivazione della chiave privata .......................................................... 30 7.14.1 Enterprise CA ............................................................................................................. 30 7.14.2 Titolari ....................................................................................................................... 30

7.15 Metodi di dismissione della chiave privata ............................................................. 30 7.15.1 Enterprise CA ............................................................................................................. 30 7.15.2 Titolari ....................................................................................................................... 30

7.16 Archiviazione delle chiavi pubbliche ....................................................................... 30 7.16.1 Enterprise CA ............................................................................................................. 30 7.16.2 Titolari ....................................................................................................................... 30

7.17 Periodo di utilizzo delle chiavi ................................................................................. 30 7.17.1 Enterprise CA ............................................................................................................. 30 7.17.2 Titolari ....................................................................................................................... 30

7.18 Generazione e installazione dei dati di attivazione ................................................ 30 7.18.1 Enterprise CA ............................................................................................................. 30 7.18.2 Titolari ....................................................................................................................... 31

7.19 Protezione dei dati di attivazione ........................................................................... 31 7.19.1 Enterprise CA ............................................................................................................. 31 7.19.2 Titolari ....................................................................................................................... 31

7.20 Misure di sicurezza dei sistemi ................................................................................ 31

7.21 Misure di sicurezza di rete ...................................................................................... 31

7.22 Time-Stamping ........................................................................................................ 31

8. PROFILI DI CERTIFICATI, CRL E OCSP .............................................................................. 32

8.1 Profili dei certificati ..................................................................................................... 32 8.1.1 Enterprise CA ............................................................................................................. 32 8.1.2 Titolari ....................................................................................................................... 32

8.1.2.1 Certificati SSL ............................................................................................... 32 8.1.2.2 Certificati di Code Signing ............................................................................. 33 8.1.2.3 Certificati di Client Authentication .................................................................. 34

8.2 Profilo della CRL .......................................................................................................... 34 8.2.1 Versione ..................................................................................................................... 35 8.2.2 Estensioni delle CRL e delle entry ................................................................................. 35

8.3 Profilo OCSP ................................................................................................................. 35

9. VERIFICHE DI CONFORMITÀ .............................................................................................. 36

9.1 Frequenza e circostanze dalle verifiche ....................................................................... 36

9.2 Identità e qualificazione degli ispettori ....................................................................... 36

9.3 Relazioni tra i soggetti esaminati e gli ispettori .......................................................... 36

9.4 Argomenti coperti dalle verifiche ................................................................................ 36

9.5 Azioni conseguenti alle non conformità ...................................................................... 37

9.6 Comunicazione dei risultati ......................................................................................... 37

10. CONDIZIONI GENERALI DI SERVIZIO ............................................................................. 38



Pag. 7 di 38

1. GENERALITÀ

1.1 Scopo del documento

Questo documento è il Certification Practice Statement relativo al servizio erogato da Intesa Sanpaolo S.p.A. per l’emissione e la gestione delle seguenti tipologie di certificati digitali:

Code Signing;

Web Server (SSL e TLS);

Client Authentication.

Questo documento è redatto ai fini delle norme vigenti e la sua scrittura è conforme a quanto indicato

nell’RFC 3647.

1.2 Riferimenti alle norme di legge

[DPCM 22/02/13] Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroni-

che avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71 del CAD.

1.3 Riferimenti agli standard

[LDAP2] W. Yeong, T. Howes, S. Kille, "Lightweight Directory Access Protocol", Internet RFC 1777, March 1995.

[PKCS7] B. Kaliski, “PKCS#7: Cryptographic Message Syntax Version 1.5”, Internet RFC 2315, March 1998.

[PKCS8] S. Turner, “Asymmetric Key Packages”, Internet RFC 5958, August 2010.

[PKCS10] B. Kaliski, "PKCS#10: Certification Request Syntax - Version 1.5", Internet RFC 2314, March

1998.

[SHA256] ISO/IEC 10118-3:1998, "Information technology - Security techniques - Hash-functions - Part 3: Dedicated hash-functions", May 1998.

[X500] ISO/IEC 9594-1: 2005 “Information technology — Open Systems Interconnection — The Direc-tory: Overview of concepts, models and services”.

[X509] ISO/IEC 9594-8: 2005 “Information technology — Open Systems Interconnection — The Direc-

tory: Public-key and attribute certificate frameworks”.

[RFC2560] Online Certificate Status Protocal - OCSP - Myers, M., R. Ankney, A. Malpani, S. Galperin and C.

Adams, June 1999.

[RFC3647] Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework

- S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, November 2003.

[RFC5280] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

- Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, May 2008.

[WebTrust] Internet WebTrust Program for Certification Authorities.

[CABForum] Internet CA/Browser Forum Baseline Requirements for the Issuance and Management of Public-

ly-Trusted Certificates Verification.



Pag. 8 di 38

1.4 Definizioni e acronimi

Il seguente elenco riporta il significato di acronimi e abbreviazioni usate in questo documento:

Agenzia Agenzia per l’Italia Digitale, già DigitPA

APDU Application Protocol Data Units

CRL

CSR

Certificate Revocation List

Certificate Signing Request

HTTP HyperText Transfer Protocol

HSM Hardware Security Module

LDAP Lightweight Directory Access Protocol

OCSP Online Certificate Status Protocol

PKCS Public Key Cryptography Standard

PKI Public Key Infrastructure

RFC Request For Comments

SHA Secure Hash Algorithm

SSL Secure Sockets Layer



Pag. 9 di 38

2. INTRODUZIONE

Il Certificatore Intesa Sanpaolo S.p.A., nell’ambito dei servizi offerti alle Società del Gruppo, include l’emissione e la gestione delle seguenti tipologie di certificati digitali:

Code Signing;

Web Server (SSL e TLS);

Client Authentication.

Il presente documento ha lo scopo di esplicitare le procedure e le misure messe in atto dal Certificatore per

garantire l’affidabilità dei certificati rilasciati, con particolare riferimento ai seguenti aspetti:

le modalità di identificazione e registrazione dei Titolari;

le modalità di generazione e gestione delle chiavi crittografiche e dei Certificati;

le modalità operative con le quali il Certificatore opera.

I Certificati emessi dalla Certification Authority oggetto del presente CPS sono conformi ai requisiti espressi dal “CA/Browser Forum”, formalizzati all’interno del documento “Baseline Requirements for the Issuance and

Management of Publicly-Trusted Certificates”.

2.1 Dati identificativi del Certificatore

Il servizio di certificazione è erogato dall’organizzazione identificata come segue:

Denominazione sociale:

Intesa Sanpaolo S.p.A.

Indirizzo della sede legale: Piazza San Carlo, 156 10121 Torino

Legale rappresentante: Carlo Messina, Consigliere Delegato e CEO

N° di iscrizione al Registro delle Imprese di Torino:

R.E.A. n. 00799960158

N° di Partita IVA: 10810700152

ISO Object Identifier (OID): 1.3.6.1.4.1.20052.3.1.1

Sito web generale (informativo): www.intesasanpaolo.com

Sito web del servizio di certificazione: http://ca.intesasanpaolo.com/portalCais0/cps/cps2048.htm

2.2 Dati identificativi e versione del documento

Il presente documento, denominato Certification Practice Statement, è individuato dal codice di documento ISP-GSC-311-2014-01 (riportato anche sul frontespizio) e dall'OID seguente: 1.3.6.1.4.1.20052.3.1.1.

Questo documento è pubblicato sul sito Web del Certificatore ed è quindi consultabile telematicamente (ai

sensi delle norme in vigore).

http://www.intesasanpaolo.com/



Pag. 10 di 38

2.3 Partecipanti alla PKI

Il presente CPS si applica ai partecipanti specificati nei seguenti paragrafi, con riferimento agli aspetti relativi al personale, ai dispositivi hardware, ai software operativi e applicativi e agli ambienti fisici presso cui vengo-

no erogati e utilizzati i servizi di certificazione.

Le indicazioni riportate nel presente documento:

- sono da considerarsi come i requisiti minimi necessari ad assicurare che i titolari e le Relying Parties ab-biano il massimo livello di garanzia sull’affidabilità dei certificati emessi dal Certificatore e che i processi

relativi alla creazione e gestione degli stessi siano eseguiti in conformità ad adeguati standard di sicurez-za;

- si applicano a tutti gli stakeholder coinvolti nella generazione, emissione, utilizzo e gestione dei certificati

digitali.

2.3.1 Certification Authorities

La Certification Authority (CA) ha lo scopo di fornire i servizi di gestione dei certificati digitali (creazione, uti-

lizzo, revoca, scadenza, rinnovo), emettendo gli stessi e firmandoli con la propria chiave privata al fine di

garantirne l’autenticità.

L’infrastruttura adottata si basa su una PKI dedicata composta da una Enterprise CA subordinata alla root CA “Baltimore Cybertrust Root” di Verizon.

Intesa Sanpaolo CA

Servizi Esterni

Baltimore

Cybertrust Root

Intesa Sanpaolo

Verizon

Nell’ambito dei servizi descritti nel presente CPS, il ruolo di CA è assegnato a Intesa Sanpaolo S.p.A., che si

avvale di Intesa Sanpaolo Group Services S.c.p.A (società consortile del Gruppo Intesa Sanpaolo) per la ge-

stione dell’infrastruttura informatica a supporto dell’erogazione dei servizi di Certification Authority.

2.3.2 Registration Authorities

Lo scopo della Registration Authority (RA) è quello di raccogliere e validare le richieste di emissione dei certi-

ficati, autenticare l’identità dei soggetti richiedenti e autorizzare o respingere le richieste stesse.

La RA ha inoltre la responsabilità di consegnare i certificati digitali ai richiedenti.

Il ruolo di RA è assegnato a Intesa Sanpaolo Group Services S.c.p.A e i servizi di Registration Authority ven-gono erogati tramite il portale servizi della Direzione Sistemi Informativi.



Pag. 11 di 38

2.3.3 Utenti Finali (Titolari)

Gli Utenti Finali (Titolari) sono le società o le strutture aziendali del Gruppo che richiedono un certificato per

Web server (SSL/TLS), client authentication o Code Signing, utilizzabile per i servizi / sistemi di propria com-

petenza.

Le richieste dei certificati possono essere effettuate direttamente dal titolare o da una persona/struttura aziendale da esso delegata (es. responsabili dello sviluppo applicativo).

2.3.4 Relying Parties

Nell’ambito del presente CPS, le Relying Parties sono rappresentate dai seguenti soggetti:

- in caso di certificati SSL per web server, sono gli utenti che accedono al sito e che fanno affidamento alle

informazioni del certificato per accertarne l’autenticità;

- in caso di certificati di client authentication, sono gli owner dei sistemi/servizi che utilizzano le informazio-

ni del certificato per accertare l’autenticità delle postazioni client che si connettono agli stessi;

- in caso di certificati di code signing, sono gli utilizzatori del software firmato, che usano le informazioni del certificato per verificare l’autenticità e l’integrità del codice.

2.4 Uso dei Certificati

I certificati rilasciati in conformità al presente CPS possono essere impiegati per i seguenti utilizzi:

- certificati SSL: attivazione del protocollo TLS/SSL per la connessione a siti web;

- client authentication: attivazione del protocollo TLS/SSL per l’autenticazione di postazioni client a servi-

zi/sistemi aziendali;

- code signing: firma digitale del codice, al fine di garantirne l’autenticità e l’integrità.

Intesa Sanpaolo declina ogni responsabilità per qualsiasi altro uso dei certificati emessi dalla propria Certifi-cation Authority.

La CA non è inoltre responsabile per certificati non emessi e non gestiti secondo quanto indicato nel presen-

te documento.

2.5 Amministrazione del CPS

Il presente Certification Practice Statement è redatto, pubblicato e aggiornato almeno annualmente sotto la

responsabilità di:

Intesa Sanpaolo S.p.A.

Piazza San Carlo, 156

10121 Torino (ITALY)



Pag. 12 di 38

3. PUBBLICAZIONE E REGISTRO DEI CERTIFICATI

3.1 Registro dei Certificati

Intesa Sanpaolo S.p.A. gestisce in proprio ed è direttamente responsabile del registro dei certificati, nel qua-le sono pubblicate informazioni relative ai certificati digitali e ai relativi servizi di emissione e gestione da par-

te del Certificatore.

Il Registro dei Certificati è costituito da una copia di riferimento, inaccessibile dall’esterno e risiedente su un

sistema sicuro installato in locali protetti, e da più copie operative liberamente accessibili attraverso la rete Internet e risiedenti in una DMZ protetta da firewall.

3.2 Informazioni Pubblicate

Nel registro dei certificati vengono pubblicati i seguenti oggetti:

1. il presente Certification Practice Statement;

2. il certificato della CA;

3. la lista dei certificati revocati (CRL).

3.3 Frequenza delle Pubblicazioni

Il CPS viene pubblicato nel Registro dei Certificati alla conclusione del processo di approvazione dello stesso e in occasione di ogni successivo aggiornamento.

La CRL viene generata e pubblicata secondo quanto dettagliato nel paragrafo 5.9.7.

3.4 Modalità di accesso al Registro dei Certificati

La copia di riferimento del registro dei Certificati è resa inaccessibile dall’esterno e risiede su un sistema sicu-

ro installato in locali protetti. Le copie operative sono invece liberamente accessibili attraverso la rete Inter-net, limitatamente alla sola operazione di lettura.

Lo svolgimento delle operazioni che modificano il contenuto del registro dei certificati è possibile solo per il personale espressamente autorizzato. In ogni caso, tutte le operazioni che modificano il contenuto del regi-

stro dei certificati vengono tracciate nel giornale di controllo.

Il registro dei certificati è accessibile tramite protocollo LDAP (solo all’interno dell’infrastruttura). In aggiunta la lista dei certificati sospesi o revocati è pubblicata anche tramite protocollo http.



Pag. 13 di 38

4. IDENTIFICAZIONE E AUTENTICAZIONE

4.1 Naming

4.1.1 Tipologie di Nomi

I nomi del titolare dei certificati e dell’ente emittente sono registrati come Distinguished Name nei campi

subject e issuer del certificato.

4.1.2 Nome della CA

Il nome della CA è registrato nel campo subject del certificato della stessa. In particolare il campo contiene i seguenti attributi:

Organization Name, contenente “Intesa Sanpaolo S.p.A”;

Common Name, contenente “Intesa Sanpaolo CA Servizi Esterni”;

Country Name, contenente “IT”;

4.1.3 Nome del Titolare

Il nome del titolare, registrato nel campo subject dei certificati, contiene i seguenti attributi:

Country Name, contenente “IT”;

Organization Name, contenente la denominazione ufficiale dell’ente titolare del certificato;

Common Name, contenente:

- in caso di certificati di “Web Server”, l’FQDN del server/servizio per cui viene richiesto il certificato;

- in caso di certificati di “Client Authentication”, l’FQDN del client per cui viene richiesto il certificato;

- in caso di certificati di “Code Signing”, un’indicazione non ambigua dello scopo del certificato e del

software firmato con lo stesso.

Nel caso di certificati di “Web Server”, è inoltre presente l’attributo Subject Alternative Name Extension, con-

tenente il Fully Qualified Domain Name (FQDN) o l’indirizzo IP del web server stesso (non sono ammessi in-dirizzi IP privati).

Nel caso di certificati di “Client Authentication”, è inoltre presente l’attributo Subject Alternative Name Exten-

sion contenente il Fully Qualified Domain Name (FQDN) o l’indirizzo IP del client stesso.

4.2 Modalità di identificazione e registrazione degli utenti

La procedura di identificazione e registrazione dei titolari che richiedono il primo rilascio di un certificato digi-

tale si articola nelle seguenti fasi:

sottomissione della richiesta tramite il portale servizi della Direzione Sistemi Informativi di Intesa Sanpao-

lo Group Services;

verifica delle informazioni fornite e accettazione o rifiuto della richiesta.

Nel seguito della presente sezione si descrivono i dettagli della procedura.



Pag. 14 di 38

4.2.1 Identificazione dei richiedenti

Le richieste di rilascio di certificati digitali possono essere effettuate solo da persone che hanno instaurato un rapporto di lavoro o collaborazione con Intesa Sanpaolo Group Services.

L’identificazione viene effettuata de visu all’inizio del rapporto con Intesa Sanpaolo Group Services e, succes-sivamente alla stessa, all’utente vengono consegnate le credenziali di accesso al sistema informativo azien-

dale.

Al fine di poter effettuare le richieste di certificati digitali tramite il Portale Servizi della Direzione Sistemi In-formativi, all’utente deve inoltre essere fornita una specifica abilitazione, richiesta dal proprio referente

aziendale e assegnata dalla struttura interna di sicurezza.

Una volta in possesso delle credenziali di accesso e delle opportune abilitazioni, gli utenti possono richiedere

il rilascio di certificati digitali accedendo alla rete di Intesa Sanpaolo Group Services, autenticandosi al Portale Servizi della Direzione Sistemi Informativi e compilando il relativo modulo on-line.

In particolare, all’interno del modulo di richiesta l’utente deve specificare le seguenti informazioni:

Referente Applicativo;

Server Name;

Dominio di Responsabilità;

Prodotto;

Piattaforma;

Servizio/Applicazione;

Codice Applicazione/Contesto;

Installazione su sistemi finali o reverse proxy;

Email destinatari aggiuntivi;

Tutte le informazioni sopra elencate sono da considerarsi obbligatorie ai fini della registrazione dell'utente e del rilascio del certificato, e vengono memorizzate in un apposito database (“database di registrazione”).

4.2.2 Verifiche svolte dal Certificatore in fase di registrazione

A fronte della richiesta di registrazione, l’operatore di Registration Authority svolge le seguenti verifiche:

1. Verifica che la CSR sia formalmente corretta sulla base dei dati inseriti

Se le verifiche descritte si concludono positivamente, l’operatore attiva il processo di emissione del certificato

digitale.

4.2.2.1 Meccanismo di pre-autorizzazione per certificati SSL/TLS

La Registation Authority ha attivato un meccanismo di pre-autorizzazione che consente agli utenti la richiesta di certificati digitali di tipo SSL/TLS (Web server authentication) solo limitatamente ad un elenco di domini

predefinito, mantenuto dalla RA stessa.

In particolare, tale elenco contiene i soli domini registrati presso ICANN a nome di una Società del Gruppo

Intesa Sanpaolo e viene mantenuto aggiornato coerentemente con le operazioni di registrazione e di cancel-

lazione dei domini stessi.



Pag. 15 di 38

4.3 Identificazione e Autenticazione per le richieste di rinnovo

4.3.1 Identificazione e autenticazione per rinnovo ordinario

La Certification Authority, in prossimità della data di scadenza di un certificato (30 giorni prima e successi-

vamente ogni settimana fino alla scadenza), invia una notifica al relativo Titolare e a tutte le terze parti inte-

ressate, segnalando la necessità di rinnovarlo qualora lo stesso sia ancora in uso sui sistemi informativi.

Il processo di rinnovo ordinario di un certificato digitale consiste nell’emissione di un nuovo certificato basato

sulla Certificate Signing Request originale e contenente le medesime informazioni di quello originale.

Le modalità di identificazione e autenticazione in caso di rinnovo ordinario coincidono con quelle previste per

il primo rilascio del certificato.

4.3.2 Identificazione e autenticazione per rinnovo a seguito di revoca

Il processo di rinnovo di un certificato a seguito di revoca consiste nella generazione di una nuova coppia di chiavi di cifratura e nell’emissione di un nuovo certificato. I dati riportati nel certificato possono differire da

quelli originali qualora la revoca sia avvenuta a causa di incorrettezza o aggiornamento degli stessi.

Le modalità di identificazione e autenticazione per il rinnovo del certificato a seguito di revoca coincidono con quelle previste per il primo rilascio.

4.3.3 Identificazione e autenticazione per le richieste di revoca

La richiesta di revoca di un certificato digitale può avvenire secondo una delle seguenti modalità:

Portale Servizi delle Direzione Sistemi Informativi: in tal caso le modalità di identificazione e autenticazio-ne coincidono con quelle previste per il primo rilascio.

E-mail aziendale: [email protected]



Pag. 16 di 38

5. REQUISITI OPERATIVI PER LA GESTIONE DEI CERTIFICATI

5.1 Richiesta dei certificati

La richiesta di un certificato digitale viene effettuata tramite il Portale Servizi della Direzione Sistemi Informa-tivi.

In particolare la procedura prevede la compilazione di un modulo on-line in cui devono essere specificate le informazioni indicate nel paragrafo 4.2.1. Il richiedente si assume la responsabilità della correttezza delle in-

formazioni riportate.

A seguito dell’invio del modulo, la richiesta viene presa in carico dalla Registration Authority.

5.2 Elaborazione delle richieste dei certificati

La Registration Authority, a seguito della presa in carico della richiesta di un certificato, provvede a censire il richiedente nel database di registrazione e ad effettuare le verifiche descritte nel paragrafo 4.2.2.

Sulla base delle verifiche effettuate, l’operatore di Registration Authority approva o rifiuta la richiesta di rila-

scio del certificato.

5.3 Emissione dei certificati

5.3.1 Operazioni effettuate dalla CA

In caso di approvazione della richiesta di rilascio, la Certification Authority provvede ad effettuare le seguenti

operazioni:

Firma della CSR

Emissione della chiave pubblica

Notifica di avvenuto rilascio

5.3.2 Notifica al Titolare

A seguito dell’avvenuta firma della richiesta di emissione di un certificato, il richiedente riceve notifica

dell’avvenuta emissione del certificato. E’ quindi responsabilità del richiedente accedere al portale della Registration Authority e procedere al down-

load della chiave pubblica.

5.4 Accettazione dei certificati

5.4.1 Criteri di accettazione dei certificati

Il richiedente deve verificare la correttezza dei dati riportati nel certificato e richiedere la revoca dello stesso

in caso di riscontro di inesattezze.



Pag. 17 di 38

5.4.2 Pubblicazione dei certificati da parte della CA

La CA effettua la pubblicazione dei soli certificati per le chiavi del Certificatore.

5.5 Utilizzo della coppia di chiavi e dei certificati

5.5.1 Utilizzo da parte del Titolare

Il Titolare deve utilizzare la coppia di chiavi dei certificati per le seguenti finalità:

Code Signing – firmare digitalmente il codice di proprietà;

Web Server (SSL e TLS) – abilitare il protocollo SSL/TLS per le connessioni verso i propri siti web, al fine di consentire l’autenticazione lato server e la cifratura del traffico scambiato;

Client Authentication – consentire l’autenticazione lato client per la connessione di postazioni utente a siti web, server e reti informatiche.

Qualsiasi altro utilizzo della coppia di chiavi e del certificato non è ammesso.

5.5.2 Utilizzo da parte delle Relying Parties

Le Relying Parties utilizzano il certificato digitale per le seguenti finalità:

Code Signing – verificare l’autenticità e l’integrità del codice eseguibile;

Web Server (SSL e TLS) – verificare l’autenticità dei siti web e abilitare la cifratura del traffico scambiato;

Client Authentication – verificare l’autenticità delle postazioni utente che si collegano ai propri siti web, server e reti informatiche.

Le Relying Parties hanno inoltre responsabilità di consultare la CRL pubblicata dalla CA al fine di verificare la validità dei certificati emessi.

5.6 Rinnovo dei certificati

I certificati digitali cessano di essere attivi al raggiungimento della data di scadenza riportata sugli stessi o a

seguito di operazioni di revoca e, qualora sia ancora necessario il loro utilizzo, occorre procedere al relativo

rinnovo.

5.7 Rigenerazione delle chiavi

La rigenerazione delle chiavi di cifratura comporta sempre l’emissione di un nuovo certificato digitale da as-

sociare alle stesse.

Il processo di emissione del certificato e generazione della coppia di chiavi di cifratura è il medesimo di quel-lo previsto in caso di primo rilascio.

5.8 Modifica dei Certificati

La modifica dei certificati non è prevista dal Certificatore. Ogni cambiamento alle informazioni in esso conte-nute comporta la generazione di una nuova coppia di chiavi e l’emissione di un nuovo certificato ad essa as-

sociato.



Pag. 18 di 38

L’emissione di un nuovo certificato comporta sempre la revoca di quello precedentemente rilasciato al Titola-

re.

5.9 Revoca dei Certificati

La revoca del certificato comporta la cessazione permanente della validità dello stesso, a partire da una data

e ora prefissata.

La revoca comporta l’inclusione del numero di serie del certificato oggetto dell’operazione all’interno della CRL e la successiva pubblicazione della stessa.

5.9.1 Circostanze per la revoca del certificato

Il Certificatore procede alla revoca del certificato nelle seguenti circostanze:

perdita del controllo della chiave privata da parte del Titolare, derivante dall’accadimento di uno o più dei

seguenti eventi:

compromissione dei codici di attivazione della chiave privata;

ragionevole dubbio che sia stata violata la confidenzialità della chiave privata;

sospetti abusi o attività illecite;

inadempienze da parte del Titolare;

cessazione dell’utilizzo del certificato;

variazione dei dati riportati nel certificato;

errori di registrazione (ad es. informazioni inesatte riportate nel certificato);

richieste delle autorità giudiziarie;

(Solo per certificati SSL/TLS) variazione dei dati di registrazione del dominio associato al certificato (es.

rimozione del dominio dal registro ICANN).

5.9.2 Soggetti che possono richiedere la revoca

La revoca del certificato può essere effettuata su richiesta del Titolare (o persona da esso delegata) o diret-tamente dalla Certification Authority.

5.9.3 Procedura di revoca per richiesta del Titolare

Il titolare (o la persona da esso delegata) ha a disposizione le seguenti modalità per inoltrare la richiesta di revoca del certificato in proprio possesso:

Portale Servizi della Direzione Sistemi Informativi, previa autenticazione con le credenziali in proprio pos-

sesso e accesso alla sezione relativa ai servizi di certificazione digitale;

e-mail della struttura di Registration Authority;

5.9.4 Procedura di revoca per richiesta della CA

Salvo i casi di motivata urgenza, qualora la CA che ha rilasciato il certificato intenda revocare lo stesso ne

darà preventiva comunicazione al Titolare, specificando i motivi della revoca e la relativa data di decorrenza.

In ogni caso verrà data successiva comunicazione dell’avvenuta revoca al Titolare.



Pag. 19 di 38

5.9.5 Grace Period delle richieste di revoca

A seguito dell’operazione di revoca, il Certificatore pubblicherà il certificato nella prima CRL regolarmente emessa, considerando il periodo di tempo necessario a svolgere l’operazione di revoca. In particolare il grace

period è fissato a 12 ore.

Inoltre l’avvenuta revoca viene registrata nel giornale di controllo.

5.9.6 Requisiti per la verifica della validità dei Certificati

Le Relying Parties devono tenere in considerazione i seguenti requisiti al fine di verificare la validità dei certi-ficati emessi dal Certificatore:

la CRL deve essere scaricata dal punto di distribuzione specificato nel certificato;

la firma della CRL deve essere verificata tramite il certificato della CA.

5.9.7 Frequenza di pubblicazione della CRL

La CRL viene pubblicata nel Registro dei Certificati ogni 36 ore e comunque a seguito di ogni operazione di revoca.

5.9.8 Latenza massima per la CRL

La CRL, non appena viene emessa, è immediatamente pubblicata sulla copia di riferimento (Master Copy) del Registro dei Certificati e successivamente replicata sulle copie operative (Shadow Copies) dello stesso (entro 30 minuti).

5.9.9 Disponibilità del servizio di verifica on-line dello stato dei Certificati

La disponibilità del servizio OCSP è assicurata in modalità 24*7.

5.9.10 Requisiti per la verifica on-line dello stato dei Certificati

Per effettuare la verifica on-line dello stato dei certificati è necessario effettuare una richiesta specifica (OCSP request) verso il sistema OCSP responder del Certificatore, che invia in risposta un messaggio con le informazioni di validità degli stessi (certificato valido, revocato o sconosciuto).

5.10 Servizi informativi sullo stato dei Certificati

5.10.1 Caratteristiche Operative

Le informazioni sullo stato dei certificati sono rese disponibili agli interessati per mezzo di una Certificate Re-vocation List (CRL) pubblicata sul Registro dei Certificati, costituito da una copia di riferimento, inaccessibile

dall’esterno e risiedente su un sistema sicuro installato in locali protetti, e da più copie operative liberamente accessibili attraverso la rete Internet. Le copie operative sono replicate su siti differenti al fine di rendere di-

sponibile una copia del Registro dei certificati anche in caso di disastro.

Il registro dei certificati è accessibile tramite protocollo LDAP, come definito nella [RFC2251], o tramite pro-

tocollo http, come definito nella [RFC2616]. Il punto di distribuzione della CRL è specificato, per ciascun pro-tocollo, all’interno di ogni certificato emesso dalla CA (estensione CRLDistributionPoints). Lo stato dei certificati degli utenti finali può anche essere controllato tramite un servizio di verifica on-line

basato sul protocollo OCSP (On-line Certificate Status Protocol) e conforme alla specifica [RFC2560].

L’indirizzo del server OCSP è specificato all’interno dei certificati emessi dalla CA (estensione AuthorityInfor-mationAccess).



Pag. 20 di 38

5.10.2 Disponibilità del servizio

La disponibilità della CRL è assicurata in modalità 24*7.

5.11 Cessazione del contratto

I termini di cessazione dei servizi di Certification Authority sono definiti all’interno dei contratti di servizio sot-toscritti dalle singole Società del Gruppo Intesa Sanpaolo.

5.12 Key escrow e key recovery

La chiave privata della Certification Authority è generata direttamente da un apparato HSM che ne scrive il valore in maniera cifrata su un Remote File System.

La chiave può essere recuperata avendo a disposizione 3 di 5 smart cards contenenti il security world con cui è stato inizializzato l’apparato HSM, il contenuto del Remote File System e un apparato HSM analogo. In ogni caso la chiave recuperata non è in alcun modo esportabile al di fuori di questo environment.



Pag. 21 di 38

6. CONTROLLI OPERATIVI, GESTIONALI E DI FACILITY

6.1 Controlli di Sicurezza Fisica

6.1.1 Ubicazione e Costruzione

L'infrastruttura della Certification Authority è collocata all’interno dei locali di un Data Center conforme a quanto previsto dalla normativa italiana nell’ambito della sicurezza degli stabili e dei luoghi di lavoro. Il sito è un ambiente “half cable” e nell’edificio è presente una Meet Me Room (MMR) dove terminano tutti i cavi esterni. Tale MMR fornisce un percorso sicuro, affidabile e diversificato per la connettività.

6.1.2 Controlli di Accesso Fisico

Gli accessi fisici all’edificio e ai locali sono consentiti solo al personale autorizzato e gli ospiti devono essere

preregistrati prima di accedere agli stessi.

Le richieste di accesso al sito possono essere sottoposte e accettate soltanto dal personale autorizzato, elen-cato in una Security Access List.

6.1.3 Gruppi di Continuità e Sistemi di Condizionamento

I locali sono muniti di impianto di condizionamento e l’impianto elettrico è protetto da cadute di tensione tra-mite un sistema UPS e un gruppo elettrogeno. L’integrità delle apparecchiature e degli impianti è mantenuta e verificata costantemente, al fine di evitare guasti che possano causare interruzione al funzionamento con-tinuo dei servizi.

6.1.4 Prevenzione da allagamenti

Tutti i siti sono ospitati in edifici collocati in zone non sismiche, dotati di opportuni sistemi di scarico delle ac-que e lontani dai corsi d’acqua.

6.1.5 Prevenzione antincendio

Tutti i siti sono dotati di sofisticati sistemi per il rilevamento e la soppressione degli incendi.

Il personale viene inoltre adeguatamente formato affinché apprenda le procedure di evacuazione dell’edificio e di raduno presso il punto di raccolta designato.

6.1.6 Dismissione dei rifiuti

I materiali infiammabili quali scatoloni di cartone, carta, libri, manuali e scale di legno non vengono mante-nuti all’interno del Data Center. È inoltre espressamente vietato conservare oggetti all’interno degli armadi

delle apparecchiature. All’esterno dell’edificio sono inoltre stati predisposti appositi contenitori per la raccolta dei rifiuti e dei mate-

riali di scarto.

Per garantire la sicurezza delle aree interne al Data Center, al termine di ogni giornata lavorativa si provvede a rimuovere qualunque materiale combustibile presente nei locali.

6.1.7 Backup Off-Site

I Log, l’archivio dati e tutto quanto necessario per garantire la continuità dei servizi sono oggetto di backup

off-site.



Pag. 22 di 38

6.2 Controlli Procedurali

6.2.1 Definizione dei ruoli

L’implementazione e il controllo dell’information security all’interno del servizio di CA è regolato da strutture

organizzative con ruoli e compiti ben definiti.

In particolare, le quantità di sicurezza sono gestite sotto la responsabilità dei Key Manager, che presiedono alla creazione delle stesse e ne garantiscono la riservatezza e il corretto utilizzo.

I Key Manager hanno accesso a tutte le zone sicure con accesso controllato, sia dove sono presenti gli HSM sia dove sono custodite in apposite casseforti le quantità di sicurezza, e sono divisi in due tipologie:

Key Manager Administrator: hanno in gestione una parte di tutte le quantità di sicurezza, ed hanno le

competenze tecniche per la gestione degli HSM; in questo modo possono gestire eventuali attivazioni de-gli OCS o ripristino di un HSM dallo stato di non utilizzabile;

Key Manager User: hanno in gestione solo una parte accessoria di quantità di sicurezza, e non hanno le competenze tecniche per la gestione degli HSM.

6.2.2 Numerosità del personale richiesto per attività

Per tutte le operazioni di ordinaria amministrazione sulla CA è necessario un solo un Key Manager User, mentre per le operazioni sulle chiavi di cifratura sono necessari almeno due Key Manager Administrator.

6.2.3 Identificazione e Autenticazione per ciascun Ruolo

Gli ingressi al Data Center sono effettuati sotto la sorveglianza del personale preposto al controllo degli ac-

cessi alle strutture, e devono sempre essere autorizzati in modo preventivo attraverso una richiesta formale.

Una volta ricevuta la conferma dell’abilitazione all’accesso, la persona autorizzata può accedere al Data Cen-ter attraverso le apposite bussole previa presentazione del proprio badge. Ogni accesso al Data Center viene

tracciato.

6.2.4 Ruoli per cui è richiesta la separazione dei Compiti

I Key Manager Administrator hanno accesso a tutte le zone sicure con accesso controllato, sia dove sono

presenti gli HSM sia dove sono custodite le quantità di sicurezza nelle casseforti dedicate. Ogni Key Manager Administrator conosce e può gestire solo una parte delle quantità di sicurezza; in questo

modo sono necessarie entrambe le persone con tale ruolo per poter effettuare operazioni di gestione delle chiavi di cifratura della CA.

6.3 Controlli sul Personale

6.3.1 Qualifiche ed esperienza del personale

Tutto il personale coinvolto nella gestione dei servizi di CA possiede un’esperienza che è stata verificata du-

rante gli anni dai referenti tecnici con il supporto della struttura di Human Resource.

Il personale addetto ha ricevuto un adeguato addestramento ed è costantemente aggiornato sulle soluzioni tecnologiche adottate, sulle procedure, sulle politiche di sicurezza e sulle variazioni organizzative.

Nessuno tra il personale addetto ha avuto in passato sanzioni disciplinari dovute a violazione delle misure di sicurezza, né ha in essere altri incarichi incompatibili con quelli relativi ai servizi di certificazione.

6.3.2 Verifiche sulla qualità del personale

La qualità del personale viene costantemente verificata dai referenti tecnici del Certificatore con il supporto della struttura di Human Resource.



Pag. 23 di 38

6.3.3 Requisiti per la Formazione del Personale

Tutto il personale coinvolto nella gestione dei servizi di CA viene formato adeguatamente prima di ricevere gli accessi al sistema; inoltre viene informato sui rischi correlati al mancato rispetto delle policy aziendali e

sulle eventuali sanzioni previste in caso di inadempienza.

6.3.4 Frequenza di erogazione della Formazione

Con frequenza trimestrale vengono effettuate delle verifiche sul livello formativo delle risorse coinvolte, inter-venendo con corsi specifici laddove vengono riscontrati eventuali gap.

I corsi di formazione vengono inoltre programmati in occasione di specifiche necessità quali adeguamenti all'infrastruttura, adeguamenti normativi o attivazione di nuovi servizi.

6.3.5 Job Rotation

Per garantire l'adeguata copertura del servizio e assicurare un livello di competenza elevato, le singole fun-zioni vengono assegnate in modo continuativo a personale altamente specializzato. In caso di inserimento di nuove risorse, a seguito del completamento dell’iter formativo le stesse vengono impiegate in affiancamento al personale specializzato per il periodo necessario al raggiungimento della totale autonomia.

6.3.6 Sanzioni a seguito di azioni non autorizzate

Nei casi in cui vengano riscontrate azioni non autorizzate da parte di uno o più soggetti, a questi vengono

immediatamente revocati gli accessi all'infrastruttura e inibita la partecipazione a qualsiasi attività riferita all’erogazione dei servizi di CA. Vengono inoltre applicate le sanzioni previste dagli specifici accordi contrat-

tuali di categoria.

6.3.7 Requisiti per Enti Terzi

Nessun ente terzo ha accesso diretto all'infrastruttura di CA ed eventuali interventi sono sempre eseguiti sot-

to la supervisione del personale autorizzato.

6.3.8 Documentazione fornita al personale

Al personale vengono forniti tutti i documenti necessari alla gestione e amministrazione dell'infrastruttura di

CA.

6.4 Procedure di Logging

6.4.1 Tipologia di eventi registrati

Tutti i sistemi mantengono traccia delle operazioni rilevanti.

Gli eventi vengono inoltre classificati in base a diversi livelli di rilevanza: il livello minimo è costituito dagli eventi di tipo informativo, in genere relativi ad attività ordinarie (es. richiesta di certificato, emissione di una nuova CRL), mentre il livello massimo si riferisce ad eventi critici (es. tentativi di eseguire operazioni non au-torizzate, malfunzionamenti hardware o software).

6.4.2 Frequenza di elaborazione dei log

I dati di log vengono monitorati in tempo reale per individuare eventi di criticità elevate che richiedano im-

mediato intervento di remediation. Al rilevamento di un evento critico, un sistema automatizzato invia un allarme che viene registrato nella con-

sole di gestione per l’apertura di un incidente.



Pag. 24 di 38

6.4.3 Periodo di conservazione dei log di audit

Tutti i log di audit vengono archiviati giornalmente in un sistema centralizzato e conservati per un periodo di 1 mese.

6.4.4 Protezione dei log di audit

L’immagine archiviata è cifrata dal software di backup e può essere decifrata in sola consultazione dal soft-ware stesso.

6.4.5 Procedure di backup dei log di audit

I backup dei log di audit sono gestiti dal software Netbackup e vengono salvati su infrastruttura DataDomain.

6.4.6 Vulnerability Assessment

E’ prevista l’esecuzione di specifiche verifiche di vulnerabilità nell’ambito del processo generale di Risk As-sessment. Tali verifiche hanno in genere frequenza almeno annuale.

6.5 Archiviazione dei dati

6.5.1 Tipologie di informazioni archiviate

Oltre ai dati di log, viene eseguito un backup giornaliero dell’immagine della macchina virtuale contenente i

dati delle CA, degli utenti registrati e dei certificati emessi e le informazioni relative allo stato di revoca.

6.5.2 Periodo di conservazione dei dati archiviati

I dati archiviati vengono conservati per un periodo di 1 mese.

6.5.3 Protezione dell’archivio

Gli archivi, contenenti tutti i dump dei dati in formato compresso, vengono conservati giornalmente sui singoli nodi di un DBMS dedicato, all’interno di una rete segregata.

6.5.3.1 Persone che possono accedere all’archivio

L’accesso ai backup è consentito solo agli amministratori di sistema.

6.5.3.2 Protezione dell’integrità dell’archivio

L’integrità dell’archivio è garantito dal software di backup che attua meccanismi proprietari di integrity check.

6.5.3.3 Protezione dell’archivio dalla cancellazione

Gli archivi possono essere cancellati solo dal software di backup.

6.5.3.4 Protezione dell’archivio dal deterioramento

L’infrastruttura DataDomain dispone di meccanismi di fault-tolerance e di protezione dal deterioramento

tramite archiviazione su tape library.

6.5.3.5 Protezione dell’archivio dall’obsolescenza

Non prevista



Pag. 25 di 38

6.5.4 Procedure di backup dell’archivio

Le copie di backup dell'archivio vengono salvate quotidianamente dal software Netbackup su tape library e conservate per un periodo di 1 mese.

6.5.5 Procedure per accedere e verificare le informazioni dell’Archivio

L’accesso ai nodi del DBMS è consentito gli amministratori di sistema, mentre i DB administrator ne possono verificare il contenuto.

6.6 Rinnovo delle chiavi della CA

6.6.1 Rinnovo chiavi Enterprise CA

La Enterprise CA ha un periodo di vita pari a 10 anni e ogni 7 anni è previsto il rinnovo della stessa e la rea-

lizzazione di una nuova key ceremony per la creazione delle relative chiavi di cifratura. Tale tempistica ga-rantisce che il periodo di validità dei certificati emessi dalla CA preceda il periodo di validità di quest’ultima.

6.7 Compromissione e Disaster Recovery

6.7.1 Procedure di gestione degli incidenti

Il Responsabile della Sicurezza mantiene un piano di gestione degli incidenti che prevede le seguenti fasi:

gestione dell'emergenza: in questa fase è garantita la continuità di accesso alle CRL. La loro emissione può subire ritardi derivanti dalla necessità di attivare il server di backup della CA, situato presso il sito di

recovery;

gestione del transitorio: in questa fase è assicurata l'emissione dei certificati e il ripristino di ulteriori ser-

vizi presso il sito di disaster recovery;

ripristino dell'esercizio a regime: in tale fase viene garantito il ripristino di tutti i servizi della CA, presso il

sito originale o in uno alternativo.

6.7.2 Procedure di recovery in caso di compromissione di Risorse, Software o Dati

La presenza di repliche della copia operativa del registro dei certificati distribuite in più siti consente, in caso

di interruzione dell’operatività del sito primario, di mantenere la disponibilità dei contenuti dello stesso, i qua-

li risultano aggiornati al momento dell'interruzione.

Al fine di garantire una corretta gestione delle situazioni di emergenza è prevista la replica, nel sito di reco-very, del registro dei certificati e dei dati del sistema di emissione degli stessi, e l'intervento entro 24 ore di

personale specializzato che provvede ad attivare la funzionalità di emissione delle CRL. Tale personale è adeguatamente formato relativamente alle modalità di gestione delle componenti hardware e software

dell’infrastruttura di CA e alle procedure di gestione delle emergenze. Entro il medesimo lasso di tempo è

inoltre previsto l'intervento dei depositari delle componenti della chiave privata della CA ai fini di ricostruirla nel dispositivo di firma del sito di recovery.

6.7.3 Procedure di gestione dei casi di compromissione delle chiavi del Certificatore

6.7.3.1 Compromissione dei dispositivi utilizzati per erogare i servizi di certificazione

In caso di guasto del dispositivo di firma è prevista, a seconda della tipologia del danno, la reinizializzazione

del dispositivo stesso o l’inizializzazione di uno nuovo con rigenerazione delle chiavi di cifratura originali.



Pag. 26 di 38

6.7.3.2 Compromissione della chiave privata del Certificatore

In caso di compromissione delle chiavi private del Certificatore è applicata la procedura di revoca e si prov-vede a generare una nuova coppia di chiavi di cifratura per poter garantire il corretto funzionamento del si-

stema.

6.7.4 Processo di Business Continuity a seguito di disastro

Il Responsabile della sicurezza mantiene il piano di gestione degli eventi di crisi, che specifica i passi operati-

vi necessari per poter garantire la continuità dei processi di business a seguito di disastro. I Piani di Business Continuity, definiti in corrispondenza degli scenari di indisponibilità di personale, siti o ri-

sorse IT, sono formalizzati all’interno di specifici documenti, resi disponibili al personale interessato tramite

gli strumenti di comunicazione aziendali.

6.8 Cessazione della CA

La cessazione della CA comporta la revoca di tutti i certificati da essa rilasciati.



Pag. 27 di 38

7. MISURE TECNICHE DI SICUREZZA

7.1 Generazione delle Chiavi

7.1.1 Enterprise CA

Le coppie di chiavi di certificazione della CA sono generate in un ambiente fisicamente sicuro tramite dispo-sitivo HSM.

Per ciascuna coppia di chiavi di certificazione generato viene in seguito prodotta una Certificate Signing Re-quest (CSR) verso la Certification Authority “Baltimore Cybertrust Root” di Verizon, affinché la stessa prov-veda a emettere un nuovo certificato digitale contenente la chiave pubblica e le informazioni della Enterprise CA.

7.1.2 Titolari

Le coppie di chiavi di certificazione assegnate ai Titolari dei certificati sono generate in un ambiente fisica-mente sicuro tramite dispositivo HSM.

Per ciascuna coppia di chiavi di certificazione viene generato un certificato, firmato con la chiave privata del-la Enterprise CA, contenente la chiave pubblica e le informazioni del rispettivo Titolare.

7.2 Distribuzione della chiave pubblica

7.2.1 Enterprise CA

La chiave pubblica della CA è inclusa nel certificato associato alla stessa e firmato dalla Certification Authori-ty “Baltimore Cybertrust Root” di Verizon.

Il certificato della CA viene pubblicato nel Registro dei Certificati (copia Master) e reso accessibile tramite copie Shadow

7.2.2 Titolari

Le chiavi pubbliche dei Titolari sono incluse nei certificati digitali associati alle stesse e firmati dalla Enterpri-se CA.

7.3 Lunghezza delle chiavi

7.3.1 Enterprise CA

Le chiavi della CA hanno una lunghezza pari ad almeno 2048 bit.

7.3.2 Titolari

Le chiavi assegnate ai Titolari hanno una lunghezza pari ad almeno 2048 bit.



Pag. 28 di 38

7.4 Parametri di generazione e qualità delle chiavi

7.4.1 Enterprise CA

La coppia di chiavi di cifratura associata alla CA è generata con algoritmo RSA, con esponente pubblico pari a 65537.

7.4.2 Titolari

La coppia di chiavi di cifratura associata al Titolare del certificato digitale è generata con algoritmo RSA, con esponente pubblico pari a 65537.

7.5 Key Usage (estensione X.509 v3)

7.5.1 Enterprise CA

L’estensione Key Usage del certificato della CA ha i seguenti bit attivati:

Digital Signature;

Certificate Sign;

CRL Sign.

7.5.2 Titolari

L’estensione Key Usage, in corrispondenza delle specifiche tipologie di certificati emessi dalla CA, è valoriz-zata secondo quanto indicato nel paragrafo 8.1.2.

7.6 Protezione della chiave privata

7.6.1 Enterprise CA

La chiave privata della CA è generata e conservata in modo sicuro all’interno dell’HSM del Certificatore. So-no inoltre implementati controlli di natura tecnica e organizzativa per prevenirne la compromissione.

7.6.2 Titolari

Non previsto.

7.7 Standard di sicurezza dei moduli crittografici

Gli apparati HSM utilizzati per la generazione e conservazione delle chiavi private dell’Enterprise CA soddi-sfano i requisiti FIPS 140-2 Level 3 e Common Criteria EAL4+

7.8 Multi-Person Control (N di M) della chiave privata

7.8.1 Enterprise CA

Il Security World dell’apparato HSM utilizzato per la generazione e conservazione della chiave privata dell’Enterprise CA richiede, per l’inizializzazione o il ripristino, la presenza di 3 su 5 smart card amministrati-ve.



Pag. 29 di 38

Le smart card amministrative sono suddivise su 3 siti e conservate in cassaforte.

7.8.2 Titolari

Non previsto.

7.9 Escrow della chiave privata

Non previsto.

7.10 Backup della chiave privata

7.10.1 Enterprise CA

Il backup della chiave privata avviene giornalmente con il backup dell’Enterprise CA.

7.10.2 Titolari

Non previsto.

7.11 Archiviazione della chiave privata


Non previsto.

7.11.2 Titolari

Non previsto.

7.12 Trasferimento della chiave privata da/al Modulo Crittografico


Non previsto.

7.12.2 Titolari

Non previsto.

7.13 Metodi di attivazione della chiave privata


La chiave privata viene attivata all’atto della sua generazione. In caso di mancata connettività tra la enterpr i-se CA e il modulo HSM l’accesso da parte della CA alla chiave privata risulta inibito finché non viene riattiva-ta la comunicazione tra CA e HSM attraverso l’utilizzo di un Key Manager User.

7.13.2 Titolari

Non previsto.



Pag. 30 di 38

7.14 Metodi di disattivazione della chiave privata


La chiave privata della Enterprise CA può essere disattivata semplicemente interrompendo la comunicazione tra la CA e il modulo HSM.

7.14.2 Titolari

Non previsto.

7.15 Metodi di dismissione della chiave privata


La dismissione della chiave privata è possibile attraverso il software di gestione del modulo HSM che può provvedere a cancellare definitivamente la chiave privata.

7.15.2 Titolari

Non previsto.

7.16 Archiviazione delle chiavi pubbliche


La chiave pubblica è archiviata secondo le politiche di archiviazione dei backup della virtual machine

7.16.2 Titolari

Non previsto.

7.17 Periodo di utilizzo delle chiavi


Le chiavi di cifratura hanno un periodo di utilizzo pari al periodo di validità del certificato della CA cui sono associate.

7.17.2 Titolari

Le chiavi di cifratura hanno un periodo di utilizzo pari al periodo di validità del certificato cui sono associate.

7.18 Generazione e installazione dei dati di attivazione


La generazione e installazione della chiave privata dell’Enterprise CA avviene nel corso della Key Ceremony in cui personale autorizzato attiva la connessione dell’Enterprise CA con il modulo crittografico ed esegue la procedura di generazione della chiave privata e della CSR.



Pag. 31 di 38

7.18.2 Titolari

Non previsto

7.19 Protezione dei dati di attivazione


La chiave privata è protetta da un modulo di crittografia il cui Security World è composto da smart-card con-servate in cassaforte. Le smart card sono suddivise su 3 sites per maggiore sicurezza.

7.19.2 Titolari

Non previsto

7.20 Misure di sicurezza dei sistemi

L’accesso ai sistemi è consentita solo agli utenti autorizzati e profilati a seconda delle funzioni che devono svolgere.

L’accesso al software della Certification Authority è consentito solo agli utenti con diritti amministrativi sulla CA.

7.21 Misure di sicurezza di rete

La Certification authority è raggiungibile solo dall’applicazione di Registration Authority per le operazioni sui certificati e dalla rete di management per le attività sistemistiche.

7.22 Time-Stamping

L’orologio dei sistemi è sincronizzato con un servizio NTP stratum 2.



Pag. 32 di 38

8. PROFILI DI CERTIFICATI, CRL E OCSP

8.1 Profili dei certificati

8.1.1 Enterprise CA

Si riporta di seguito il profilo definito per i certificati della CA.

Campo Valore

VERSION 3

SERIAL Generato automaticamente dalla CA emittente

ALG. ID sha1WithRSAEncryption

ISSUER

- Country Name = IE

- Organization Name = Baltimore - Organizational Unit = CyberTrust

- Common Name = Baltimore CyberTrust Root

VALIDITY 10 anni

SUBJECT

- Common Name = Intesa Sanpaolo CA Servizi Esterni - Domain Component = corp

- Domain Component = sanpaoloimi - Domain Component = com

PUBLIC KEY RSA da 2048 bit

Estensione Valore

CRL Distribution Points Distribution Point 1: - Uniform Resource ID1 = URL=http://cdp1.public-

trust.com/CRL/Omniroot2025.crl

Key Usage Digital Signature, Certificate Sign, CRL Sign, Offline CRL Sign

Basic Constraints CA (critical), pathlen:0

8.1.2 Titolari

Si riporta di seguito il profilo definito per i certificati degli Utenti Finali (Titolari).

8.1.2.1 Certificati SSL

Campo Valore

VERSION 3





Pag. 33 di 38

ISSUER


- Domain Component = sanpaoloimi

- Domain Component = com

VALIDITY 2 anni

SUBJECT

- Country Name = IT

- Organization Name = Intesa Sanpaolo S.p.A.

- Common Name = <FQDN del sito>


Estensione Valore

CertificatePolicies

- PolicyOID =1.3.6.1.4.1.20052.3.1.1

- CPS-URI = http://ca.intesasanpaolo.com/portalCais0/cps/cps2048.htm

subjectAltName - < FQDN del sito>

CRL Distribution Points Distribution Point 1: - Uniform Resource ID1 =

http://ca.intesasanpaolo.com/portalCais0/crl/servext.crl

Key Usage Digital Signature, Key Encryption

Extended Key Usage Server Authentication

Authority Information

Access Alternative Name = http://ocsp.intesasanpaolo.com

8.1.2.2 Certificati di Code Signing

Campo Valore

VERSION 3



ISSUER

- Common Name = Intesa Sanpaolo CA Servizi Esterni

- Domain Component = corp - Domain Component = sanpaoloimi

- Domain Component = com

VALIDITY 3 anni

SUBJECT - Country Name = IT - Organization Name = Intesa Sanpaolo S.p.A.

- Common Name = Software Certificato Intesa Sanpaolo


Estensione Valore

CertificatePolicies

- PolicyOID =1.3.6.1.4.1.20052.3.1.1

- CPS-URI = http://ca.intesasanpaolo.com/portalCais0/cps/cps2048.htm



Pag. 34 di 38



Key Usage Digital Signature

Extended Key Usage Code Signing, WHDV



8.1.2.3 Certificati di Client Authentication

Campo Valore

VERSION 3



ISSUER



VALIDITY 2 anni

SUBJECT

- Country Name = IT

- Organization Name = Intesa Sanpaolo S.p.A. - Common Name = <FQDN del client>


Estensione Valore

CertificatePolicies - PolicyOID =1.3.6.1.4.1.20052.3.1.1 - CPS-URI =

http://ca.intesasanpaolo.com/portalCais0/cps/cps2048.htm

subjectAltName - < FQDN del sito>



Key Usage Digital Signature, Key Encryption

Extended Key Usage Server Authentication, Client Authentication

Authority Information Access

Alternative Name = http://ocsp.intesasanpaolo.com

8.2 Profilo della CRL

Il formato della CRL è conforme alla RFC 5280 e allo standard ISO/IEC 9594-8:2005.



Pag. 35 di 38

8.2.1 Versione

Il campo version è valorizzato come “v2”.

8.2.2 Estensioni delle CRL e delle entry

Le estensioni impostate sono le seguenti:

CRL: estensione cRLNumber, che indica il numero incrementale di CRL;

entry delle CRL: estensione reasonCode, che indica la causale di revoca.

8.3 Profilo OCSP

Il certificato relativo alla chiave di sottoscrizione temporale del risponditore OCSP è emesso con profilo con-forme alla RFC 2560.

Di seguito sono riportate le caratteristiche del profilodi tale certificato.

Campo Valore

VERSION 3



ISSUER

- Common Name = Intesa Sanpaolo CA Servizi Esterni

- Domain Component = corp


VALIDITY 2 settimane

SUBJECT - Common Name = <FQDN della risorsa>


Estensione Valore

CertificatePolicies - PolicyOID =1.3.6.1.4.1.20052.3.1.1 - CPS-URI =

http://ca.intesasanpaolo.com/portalCais0/cps/cps2048.htm

CRL Distribution Points

Distribution Point 1:

- Uniform Resource ID1 = http://ca.intesasanpaolo.com/portalCais0/crl/servext.crl

Key Usage Digital Signature

Extended Key Usage OCSP Signing





Pag. 36 di 38

9. VERIFICHE DI CONFORMITÀ

9.1 Frequenza e circostanze dalle verifiche

Intesa Sanpaolo si impegna ad effettuare ogni anno una verifica di conformità sulla propria Certification Au-thority, ingaggiando un ente esterno e indipendente al fine di garantire l’oggettività e l’imparzialità delle ana-

lisi effettuate e dei risultati prodotti.

Periodicamente sono in aggiunta condotti audit interni da parte della struttura delegata al governo dei servizi

di Certification Authority di Intesa Sanpaolo.

9.2 Identità e qualificazione degli ispettori

Le verifiche esterne sono condotte da terze parti indipendenti che offrano adeguate garanzie dal punto di vista organizzativo e tecnologico e che siano in possesso delle adeguate competenze in materia.

Le verifiche interne sono svolte da personale della struttura delegata al governo dei servizi di Certification Authority di Intesa Sanpaolo in possesso delle adeguate qualifiche in materia.

9.3 Relazioni tra i soggetti esaminati e gli ispettori

Gli auditor esterni non hanno alcuna relazione con il Gruppo Intesa Sanpaolo che possa influenzare l’imparzialità dei risultati delle verifiche effettuate sulla Certification Authority.

La struttura delegata al governo dei servizi di Certification Authority di Intesa Sanpaolo riporta ad una dire-

zione aziendale differente da quella cui riportano le unità organizzative preposte all’erogazione dei servizi di Certification Authority.

9.4 Argomenti coperti dalle verifiche

Gli audit svolti dagli enti esterni sono finalizzati a verificare la conformità dei servizi di Certification Authority con gli standard internazionali di riferimento in materia. In particolare sono tenuti in considerazione i se-

guenti standard:

“Internet WebTrust Program for Certification Authorities”.

“Internet CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-

Trusted Certificates Verification”.

ETSI TS 102 042 V2.4.1 (2013-02) "Electronic Signatures and Infrastructures (ESI); Policy requirements

for certification authorities issuing public key certificates".

ETSI TR 103 123 V1.1.1. (2012-11) "Electronic Signatures and Infrastructures (ESI); Guidance for Audi-

tors and CSPs on ETSI TS 102 042 for Issuing Publicly-Trusted TLS/SSL Certificates".

Gli audit interni da parte della struttura delegata al governo dei servizi di Certification Authority di Intesa

Sanpaolo sono finalizzati ad accertare il rispetto delle procedure operative della CA e verificare la conformità con gli standard aziendali di riferimento.



Pag. 37 di 38

9.5 Azioni conseguenti alle non conformità

Nel caso in cui le ispezioni degli enti esterni evidenzino non conformità, viene concordata una pianificazione temporale entro cui la Certification Authority provvede a risolvere le stesse.

Lo stato di attuazione degli interventi di adeguamento viene verificato nel corso delle successive ispezioni da

parte dell’ente esterno.

Relativamente alle ispezioni interne, le eventuali non conformità riscontrate vengono condivise con le strut-ture preposte all’erogazione dei servizi di Certification Authority che provvedono a definire un piano di inter-

vento per la risoluzione delle stesse. La struttura delegata al governo dei servizi di Certification Authority di Intesa Sanpaolo provvede inoltre a verificare la corretta attuazione delle azioni identificate.

9.6 Comunicazione dei risultati

I risultati degli audit svolti dagli enti esterni vengono formalizzati all’interno di un apposito report consegnato alla Certification Authority.

I risultati delle ispezioni svolte dalla struttura delegata al governo dei servizi di Certification Authority di Inte-

sa Sanpaolo vengono comunicati, tramite la predisposizione di un apposito report di audit, alle strutture

coinvolte nell’erogazione dei servizi di Certification Authority.



Pag. 38 di 38

10. CONDIZIONI GENERALI DI SERVIZIO

Il ruolo di CA è assegnato a Intesa Sanpaolo S.p.A., che si avvale di Intesa Sanpaolo Group Services S.c.p.A

(società consortile del Gruppo Intesa Sanpaolo) per la gestione dell’infrastruttura informatica a supporto dell’erogazione dei servizi di Certification Authority.

Le Condizioni Generali di Servizio sono definite all’interno dei “contratti di servizio” stipulati tra le Società del

Gruppo Intesa Sanpaolo (utenti finali della Certification Authority) e Intesa Sanpaolo Group Services S.c.p.A.

Servizio di Certificazione...

Documents

Transcript of Servizio di Certificazione...