strana: 1/56 FINA OPĆA PRAVILA PRUŽANJA USLUGA IZDAVANJA KVALIFICIRANIH ELEKTRONIČKIH VREMENSKIH ŽIGOVA Verzija 1.3 Datum stupanja na snagu: 27.02.2019. OID Dokumenta: 1.3.124.1104.2.3.1.1.3
strana: 2/56 Informacije o dokumentu Ime dokumenta: OID dokumenta: 1.3.124.1104.2.3.1.1.3 Tip dokumenta: Oznaka distribucije Vlasnik dokumenta Kontakt (Time-Stamp Policy, TP) Javno Financijska agencija, Fina pma@fina.hr Povijest izmjena Verzija Datum Razlog izmjene 1.0 22.05.2017. Inicijalna verzija 1.1 02.05.2018. Ažuriranje referente liste zakonske regulative, proširenje prava pristupa usluzi izdavanja elektroničkih kvalificiranih i na certifikate drugih pružatelja usluga povjerenja, ispravljanje prepoznatih grešaka. 1.2 11.09.2018. Ažuriranje referente liste zakonske regulative, dodavanje izjave o usklađenosti strukture dokumenta s RFC 3647, dodavanje opisa CA certifikata, pojašnjenje o zaustavljanju Fina QTSA 2017 servisa nakon 1 sekunde netočnosti, dodavanje pravila o iznošenju TSA opreme iz štićenog prostora, dodavanje izjave o postupcima vezanim za upravljanje kritičnim ranjivostima i dodavanje izjave o dostupnosti usluga osobama s invaliditetom. 1.3 26.02.2019. Promjene u odgovoru servisa izdavanja, dodavanje odredbe o arhiviranju ugovora o pružanju usluge izdavanja kvalificiranih elektroničkih i ispravljanje prepoznatih grešaka.
strana: 3/56 SADRŽAJ: REFERENTNE DOKUMENTIRANE INFORMACIJE... 9 Temeljni zakon... 9 Ostala zakonska regulativa... 9 Normizacijski dokumenti... 9 Finini dokumenti... 10 1. UVODNE OZNAKE I TEMELJNI PODACI... 11 1.1. Pregled... 11 1.2. Naziv dokumenta i identifikacijski podaci... 12 1.3. Sudionici Fina QTSA 2017 servisa... 12 1.3.1. Pružatelj usluga izdavanja... 12 1.3.1.1. Fina Root CA... 12 1.3.1.2. Fina RDC 2015 CA... 12 1.3.2. Korisnici... 13 1.3.3. Registracijski uredi... 13 1.3.4. Pouzdajuće strane... 13 1.3.5. Ostali sudionici... 13 1.4. Uporaba... 14 1.4.1. Primjerena uporaba... 14 1.4.2. Zabrane uporabe... 14 1.5. Administracija dokumenta Općih pravila... 14 1.5.1. Organizacija odgovorna za održavanje dokumenta Opća pravila... 14 1.5.2. Kontakt podaci... 14 1.5.3. Tijelo koje utvrđuje usklađenost QTPS dokumenta s Općim pravilima... 14 1.5.4. Procedure odobravanja QTPS dokumenta... 14 1.6. Definicije i kratice... 15 1.6.1. Definicije... 15 1.6.2. Kratice... 19 2. OBJAVE I ODGOVORNOSTI ZA REPOZITORIJ... 21 2.1. Identifikacija tijela koje vodi repozitorij... 21 2.2. Objava informacija o izdavanju... 21 2.3. Vrijeme ili učestalost objavljivanja... 21 2.4. Kontrole pristupa repozitoriju... 21 3. IDENTIFIKACIJA KORISNIKA I IZDAVANJE ELEKTRONIČKIH VREMENSKIH ŽIGOVA... 22 3.1. Identifikacija Korisnika... 22 3.1.1. Inicijalno utvrđivanje identiteta Korisnika... 22 3.1.2. Način dostave pristupnice... 22 3.1.3. Sklapanje ugovora... 22 3.2. Identifikacija i autentikacija na Fina QTSA 2017 servis... 23 3.3. Certifikat jedinice za izradu vremenskog žiga... 23 3.4. Elektronički vremenski žig... 23 3.4.1. Zahtjev za izdavanje vremenskog žiga (Time-Stamp Request)... 24 3.4.2. Odgovor servisa za izdavanje elektroničkih (Time-Stamp Response)... 24 3.5. Profil vremenskog žiga... 24 3.6. Točnost vremena u izdanim elektroničkim vremenskim žigovima... 25 3.7. Sinkronizacija sata s UTC... 25 3.7.1. Ljetno računanje vremena... 25 3.8. Provjera valjanosti vremenskog žiga... 25
strana: 4/56 3.9. Raspoloživost usluge... 26 3.10. Izdavanje ne... 26 3.11. Transportni protokol za uslugu izdavanja elektroničkih... 26 4. OPERATIVNI ZAHTJEVI NA ŽIVOTNI CIKLUS CERTIFIKATA ZA FINA QTSA 2017... 27 4.1. Izdavanje certifikata... 27 4.2. Opoziv i suspenzija certifikata... 27 4.2.1. Razlozi za opoziv... 27 4.2.2. Tko može tražiti opoziv... 27 4.2.3. Učestalost izdavanja CRL... 27 4.2.4. Maksimalno kašnjenje za CRL... 27 4.2.5. Zahtjevi na online provjeru statusa opozvanosti certifikata... 27 4.2.6. Drugi dostupni načini objave opozvanih certifikata... 28 5. PROVJERA SUSTAVA, UPRAVLJANJA I RADNIH POSTUPAKA... 29 5.1. Mjere fizičke zaštite... 29 5.1.1. Lokacija objekta i konstrukcija... 29 5.1.2. Fizički pristup... 29 5.1.3. Sustavi za napajanje i klimatizaciju... 30 5.1.4. Opasnost od poplave... 30 5.1.5. Protupožarna zaštita... 30 5.1.6. Pohrana medija... 30 5.1.7. Zbrinjavanje otpada... 30 5.1.8. Sigurnosne kopije na drugoj lokaciji... 30 5.2. Organizacijske mjere zaštite... 31 5.2.1. Povjerljive uloge... 31 5.2.2. Broj osoba potrebnih za obavljanje aktivnosti... 31 5.2.3. Identifikacija i potvrđivanje identiteta za svaku ulogu... 31 5.2.4. Uloge koje zahtijevaju odvajanje dužnosti... 31 5.3. Provjere osoblja... 31 5.3.1. Kvalifikacije, radno iskustvo i zahtjevi za provjerom osoblja... 31 5.3.2. Procedure provjere prikladnosti osoblja... 32 5.3.3. Zahtjevi za školovanjem... 32 5.3.4. Učestalost i uvjeti za obnovu znanja... 32 5.3.5. Učestalost i slijed izmjene zaposlenika... 32 5.3.6. Kazne za neovlaštene radnje... 32 5.3.7. Zahtjevi na vanjske suradnike... 32 5.3.8. Dokumentacija koja je dostupna osoblju... 32 5.4. Postupci upravljanja revizijskim zapisima... 33 5.4.1. Tipovi događaja koji se zapisuju... 33 5.4.2. Učestalost obrade revizijskih zapisa... 33 5.4.3. Vremenski period pohrane revizijskih zapisa... 33 5.4.4. Zaštita revizijskih zapisa... 33 5.4.5. Postupci izrade sigurnosnih kopija revizijskih zapisa... 33 5.4.6. Sustav prikupljanja revizijskih zapisa (unutarnji ili vanjski)... 33 5.4.7. Obavještavanje subjekta uzročnika događaja... 34 5.4.8. Procjena ranjivosti... 34 5.5. Arhiviranje zapisa... 34 5.5.1. Tipovi arhiviranih zapisa... 34 5.5.2. Vremenski period arhiviranja... 34 5.5.3. Zaštita arhive... 34 5.5.4. Postupci izrade sigurnosnih kopija arhive... 35 5.5.5. Zahtjevi na zaštitu zapisa vremenskim žigom... 35
strana: 5/56 5.5.6. Sustav prikupljanja arhivskih zapisa (unutarnji ili vanjski)... 35 5.5.7. Postupci dobivanja i provjere arhiviranih zapisa... 35 5.6. Promjena TSU ključa... 35 5.7. Oporavak od kompromitiranja ili nepogode... 35 5.7.1. Postupci u slučaju incidenta ili kompromitiranja... 35 5.7.2. Postupci u slučaju oštećenja u računalnim resursima, programima i/ili podacima... 36 5.7.3. Postupci u slučaju kompromitiranja privatnog ključa ili ispada iz sinkroniziranosti s UTC vremenom.. 36 5.7.4. Mogućnost nastavka poslovanja nakon nepogode... 36 5.8. Prestanak rada Fina QTSA 2017 servisa... 37 6. TEHNIČKE MJERE ZAŠTITE... 38 6.1. Generiranje i instalacija para ključeva... 38 6.1.1. Generiranje para TSU ključeva... 38 6.1.2. Dostava javnog TSU ključa pouzdajućim stranama... 38 6.1.3. Duljine ključeva... 38 6.1.4. Generiranje i provjera kvalitete parametara javnog ključa... 38 6.1.5. Namjene ključeva... 38 6.2. Zaštita privatnog ključa i tehnike upravljanja kriptografskim modulom... 39 6.2.1. Norme i tehničke mjere zaštite kriptografskog modula... 39 6.2.2. Upravljanje privatnim TSU ključem od strane više osoba (n od m)... 39 6.2.3. Sigurno skladištenje privatnog ključa... 39 6.2.4. Sigurnosno kopiranje privatnog ključa... 39 6.2.5. Arhiviranje privatnog ključa... 39 6.2.6. Prijenos privatnog ključa... 39 6.2.7. Spremanje privatnog ključa u kriptografskom modulu... 39 6.2.8. Metoda aktivacije privatnog TSU ključa... 40 6.2.9. Metoda deaktivacije privatnog TSU ključa... 40 6.2.10. Metoda uništavanja privatnog TSU ključa... 40 6.2.11. Ocjena kriptografskog modula... 40 6.3. Ostali vidovi upravljanja parom ključeva... 40 6.3.1. Arhiviranje javnog ključa... 40 6.3.2. Vremenski period važenja Fina QTSA 2017 certifikata i korištenja para TSU ključeva... 40 6.3.3. Upravljanje životnim ciklusom kriptografskih modula... 41 6.4. Aktivacijski podaci... 41 6.4.1. Generiranje i instalacija aktivacijskih podataka... 41 6.4.2. Zaštita aktivacijskih podataka... 41 6.5. Upravljanje računalnom sigurnošću... 41 6.5.1. Posebni tehnički zahtjevi na računalnu sigurnost... 41 6.5.2. Ocjena računalne sigurnosti... 42 6.6. Tehničke kontrole životnog ciklusa... 42 6.6.1. Kontrole razvoja sustava... 42 6.6.2. Kontrole upravljanja sigurnošću... 42 6.6.3. Sigurnosne kontrole životnog ciklusa... 42 6.7. Provjera mrežne sigurnosti... 43 6.8. Uporaba vremenskog žiga... 43 7. SADRŽAJ CERTIFIKATA, LISTA OPOZVANIH CERTIFIKATA I OCSP PROFILI... 44 7.1. Profil certifikata Fina QTSA 2017... 44 7.1.1. Broj(evi) verzije... 44
strana: 6/56 7.1.2. Ekstenzije certifikata... 44 7.1.3. Identifikator objekta (OID) algoritama... 44 7.1.4. Oblici naziva... 44 7.1.5. Ograničenja u nazivima... 44 7.1.6. Identifikator objekta (OID) općih pravila TSU certifikata... 44 7.1.7. Uporaba ekstenzije Policy Constraints... 45 7.1.8. Sintaksa i semantika kvalifikatora općih pravila... 45 7.1.9. Procesne semantike za kritičnu ekstenziju Certificate Policies... 45 7.2. Profil CRL... 45 7.2.1. Broj(evi) verzije... 45 7.2.2. CRL i ekstenzije unosa u CRL... 45 7.3. OCSP profil... 45 7.3.1. Broj(evi) verzije... 45 7.3.2. OCSP ekstenzije... 45 8. PROVJERA SUKLADNOSTI... 46 8.1. Učestalost ili okolnosti provjere sukladnosti... 46 8.1.1. Vanjska provjera sukladnosti... 46 8.1.2. Interna provjera sukladnosti... 46 8.2. Identitet/kvalifikacije ocjenitelja... 46 8.3. Odnos ocjenitelja s tijelom koje se ocjenjuje... 46 8.4. Predmeti ocjenjivanja sukladnosti... 47 8.5. Mjere u slučaju neusklađenosti... 47 8.6. Priopćavanje rezultata... 47 9. OSTALE POSLOVNE I PRAVNE ODREDBE... 48 9.1. Naknada za usluge... 48 9.1.1. Povrat naknada... 48 9.2. Financijska odgovornost... 48 9.2.1. Pokrivenost osiguranjem... 48 9.2.2. Druga sredstva... 48 9.2.3. Osiguranje ili garancije krajnjim korisnicima... 48 9.3. Povjerljivost poslovnih podataka... 48 9.3.1. Opseg povjerljivih poslovnih podataka... 48 9.3.2. Podaci koji se ne smatraju povjerljivim poslovnim podacima... 49 9.3.3. Odgovornost za zaštitu povjerljivih poslovnih podataka... 49 9.4. Zaštita osobnih podataka... 49 9.4.1. Plan zaštite osobnih podataka... 49 9.4.2. Povjerljivi osobni podaci... 49 9.4.3. Osobni podaci koji nisu povjerljivi... 49 9.4.4. Odgovornost za zaštitu osobnih podataka... 49 9.4.5. Ovlaštenje za korištenje osobnih podataka... 50 9.4.6. Dostupnost podataka mjerodavnim tijelima... 50 9.4.7. Ostale okolnosti objave podataka... 50 Nema odredbi.... 50 9.5. Prava intelektualnog vlasništva... 50 9.6. Obveze sudionika... 50 9.6.1. Obveze Fine... 50
strana: 7/56 9.6.2. Obveze RA... 51 9.6.3. Obveze Korisnika... 51 9.6.4. Obveze pouzdajućih strana... 52 9.7. Odgovornosti sudionika... 52 9.7.1. Odgovornosti Fine... 52 9.7.2. Odgovornosti Korisnika... 52 9.7.3. Odgovornosti pouzdajućih strana... 53 9.8. Odricanje od odgovornosti... 53 9.9. Ograničenja odgovornosti... 53 9.10. Naknada štete... 54 9.11. Trajanje i prestanak važenja... 54 9.11.1. Trajanje... 54 9.11.2. Prestanak važenja... 54 9.11.3. Posljedice prestanka važenja i nastavak djelovanja... 54 9.12. Individualne obavijesti i komunikacija sa sudionicima... 54 9.13. Izmjene i dopune... 55 9.13.1. Procedure izmjena i dopuna... 55 9.13.2. Mehanizmi obavještavanja i vremenski periodi... 55 9.13.3. Okolnosti pod kojima se mora mijenjati OID... 55 9.14. Postupak rješavanja sporova... 55 9.15. Važeći propisi... 56 9.16. Usklađenost s primjenjivim propisima... 56 9.17. Ostale odredbe... 56
strana: 8/56 AUTORSKA PRAVA Ova su Finino vlasništvo, administrirana su od strane Fina PMA te su podložna zaštiti autorskih prava prema zakonima u Republici Hrvatskoj.
strana: 9/56 REFERENTNE DOKUMENTIRANE INFORMACIJE Temeljni zakon [1] Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ [2] Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ, (NN 62/2017) Ostala zakonska regulativa [3] Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) Normizacijski dokumenti [4] ETSI EN 319 401 V2.1.1 (2016-02); Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers [5] ETSI EN 319 421 V1.1.1 (2016-03) Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps [6] ETSI EN 319 422 V1.1.1 (2016-03) Electronic Signatures and Infrastructures (ESI); Time-stamping protocol and time-stamp token profiles [7] ETSI EN 319 411-1 V1.1.1. (2016-02) Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [8] ETSI EN 319 411-2 V2.1.1. (2016-02) Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates [9] ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers [10] ETSI EN 319 102-1 V1.1.1 (2016-05) Electronic Signatures and Infrastructures (ESI); Procedures for Creation and Validation of AdES Digital Signatures; Part 1: Creation and Validation [11] ETSI TS 119 312 Electronic Signatures and Infrastructures (ESI); Cryptographic Suites [12] IETF RFC 3161 (2001) Internet X.509: Public Key Infrastructure: Time Stamp Protocol (TSP) [13] IETF RFC 3739 - Internet X.509 Public Key Infrastructure: Qualified Certificates Profile
strana: 10/56 [14] IETF RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile [15] IETF RFC 6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol OCSP (2013) [16] NIST FIPS PUB 140-2:2002 - Security Requirements for Cryptographic Modules [17] ISO/IEC 27001:2013 - Information technology Security techniques Information security management systems Requirements [18] ISO/IEC 27002:2013 - Information technology - Security techniques - Code of practice for information security controls [19] IETF RFC 3647 Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework Finini dokumenti [20] Opća pravila pružanja usluga certificiranja i Pravilnik o postupcima certificiranja za Fina Root CA, CP/CPS ROOT [21] Pravilnik o postupcima pružanja usluga izdavanja, QTPS [22] Pravilnik o postupcima certificiranja za kvalificirane certifikate za elektroničke potpise i pečate, CPS QC-eIDAS [23] Pravilnik o postupcima certificiranja za nekvalificirane certifikate, CPS NQC-eIDAS
strana: 11/56 1. UVODNE OZNAKE I TEMELJNI PODACI Fina je kao kvalificirani pružatelj usluga povjerenja upisana u Pouzdani popis pružatelja usluga povjerenja u Republici Hrvatskoj kojeg vodi središnje tijelo državne uprave nadležno za poslove gospodarstva. Finin servis izdavanja kvalificiranih je kao kvalificirana usluga povjerenja pod nazivom Fina QTSA 2017 upisan u Pouzdani popis pružatelja usluga povjerenja u Republici Hrvatskoj. Fina QTSA 2017 je dio Fina PKI produkcijske okoline, a kvalificirani elektronički vremenski žigovi koje izdaje mogu se koristiti zajedno s kvalificiranim certifikatima koje izdaje Fina. 1.1. Pregled Ovaj dokument vremenskih žigova (engl.: Qualified Time-Stamp Policy, QTP) sadrži Finina pravila za pružanje usluga izdavanja. Primijenjena tehnologija zasniva se na kriptografiji javnog ključa, X.509 certifikatima i pouzdanim servisima točnog vremena. Sadržaj ovih Općih pravila usklađen je s normizacijskim dokumentima: ETSI EN 319 401 [4], ETSI EN 319 421 [5], ETSI EN 319 422 [6], ETSI TS 119 312 [11]. Svrha ovih Općih pravila je definiranje i uređivanje pravila i načela prema kojima trebaju postupati Fina QTSA, korisnici usluge izdavanja (u daljnjem tekstu: Korisnici) i pouzdajuće strane. Za tumačenje odredaba ovih Općih pravila mjerodavne su odredbe Uredbe (EU) br. 910/2014 [1], Zakona o provedbi Uredbe (EU) br. 910/2014 [2] te normizacijskih dokumenata i preporuka na koje isti upućuju. Kvalificirani elektronički vremenski žigovi izdani prema ovim Općim pravilima usklađeni su sa zahtjevima norme ETSI EN 319 421 [5]. Fina kao pružatelj usluga izdavanja uključuje svoj vlastiti OID u vremenske žigove koje izdaje. U Fininim kvalificiranim elektroničkim vremenskom žigovima nalazi se identifikator ovih kvalificiranih elektroničkih (QTP OID: 1.3.124.1104.2.3.1.1.3). Pružanje usluge izdavanja sukladno je s ETSI EN 319 421 [5] BTSP (Best practices Time-Stamp Policy): opća pravila najbolje prakse za vremenske žigove, OID: 0.4.0.2023.1.1. Struktura ovog dokumenta temelji se na normizacijskom dokumentu IETF RFC 3647 [19].
strana: 12/56 1.2. Naziv dokumenta i identifikacijski podaci OID za Finu dodijeljen je od strane British Standards Institution (BSI) International Code Designator (ICD). Na temelju tog OID-a Fina je za potrebe pružanja usluga izdavanja kvalificiranih elektroničkih dodijelila OID: 1.3.124.1104.2. U nastavku je naveden naziv ovog dokumenta i pripadajući identifikacijski podaci. Naziv: vremenskih žigova Verzija: 1.3 Datum stupanja na snagu: 27.02.2019. OID: 1.3.124.1104.2.3.1.1.3 Internetska adresa na kojima je objavljena javna verzija ovih Opća pravila pružanja usluga izdavanja je: http://rdc.fina.hr/qtsa2017/finaqtsa2017-qtp1-3-hr.pdf. 1.3. Sudionici Fina QTSA 2017 servisa 1.3.1. Pružatelj usluga izdavanja Fina preko servisa Fina QTSA 2017 pruža uslugu izdavanja vremenskih žigova (u daljnjem tekstu: usluga izdavanja ). 1.3.1.1. Fina Root CA Fina Root CA je izdao samopotpisani Fina Root CA certifikat te CA certifikat za njemu subordinirani Fina RDC 2015 CA. Fina Root CA ne izdaje certifikate Korisnicima. Osnovni podaci o Fina Root CA certifikatu dani su u Tablici 1.1. Issuer Validity Subject Polje Atribut Vrijednost commonname organizationname countryname notbefore notafter commonname organizationname countryname Fina Root CA Financijska agencija HR Vrijeme izdavanja certifikata Vrijeme izdavanja certifikata + 20 godina Fina Root CA Financijska agencija SHA-1 fingerprint: 62:02:bf:16:9a:f2:7f:a6:7e:d0:ce:c6:6b:78:2b:83:22:61:26:e9 SHA-256 fingerprint: 5a:b4:fc:db:18:0b:5b:6a:f0:d2:62:a2:37:5a:2c:77:d2:56:02:01:5d:96:64:87:56:61:1e:2e:78:c5:3a:d3 Tablica 1.1. Osnovni podaci o Fina Root CA certifikatu Fina Root CA certifikat dostupan je na sljedećoj internetskoj adresi: http://rdc.fina.hr/root/finarootca.cer. 1.3.1.2. Fina RDC 2015 CA Fina RDC 2015 CA izdaje certifikate za TSU. HR
strana: 13/56 Osnovni podaci o Fina RDC 2015 CA certifikatu dani su u Tablici 1.2. Issuer Validity Subject Polje Atribut Vrijednost commonname organizationname countryname notbefore notafter Fina Root CA Financijska agencija HR Vrijeme izdavanja certifikata commonname Fina RDC 2015 organizationname countryname Vrijeme izdavanja certifikata + 10 godina Financijska agencija SHA-1 fingerprint: d8:86:43:90:c7:6c:9b:71:f0:40:4f:f3:76:fc:38:fd:73:78:7d:08 SHA-256 fingerprint: 85:7b:fc:e4:3b:1b:b4:60:1f:f4:54:3b:46:d3:fb:2e:21:3b:f9:b4:fe:eb:6f:13:be:9e:f4:5c:04:ff:6f:8b Tablica 1.2. Osnovni podaci o Fina RDC 2015 CA certifikatu Fina RDC 2015 CA certifikat dostupan je na sljedećoj internetskoj adresi: http://rdc.fina.hr/rdc2015/finardcca2015.cer. 1.3.2. Korisnici Korisnici servisa Fina QTSA 2017 su fizičke osobe - građani ili poslovni subjekti koji s Finom ugovaraju korištenje usluga izdavanja. Korisnici Fininog servisa za izdavanje su i Finini interni korisnici. 1.3.3. Registracijski uredi Poslovi registracije Korisnika za Fina QTSA 2017 obavljaju se u registracijskim uredima Fine. Fina ima organiziranu mrežu registracijskih ureda (u daljnjem tekstu: Fina RA mreža) koja obavlja poslove registracije Korisnika za Fina QTSA 2017. Fina RA mrežu čini mreža lokalnih registracijskih ureda (u daljnjem tekstu: Fina LRA) u poslovnoj mreži Fine te Središnji Fina RA. Registraciju Korisnika u Fina RA mreži provodi Fina LRA, a iznimno i Središnji Fina RA. U Fina LRA registraciju provode Službenici za registraciju. Poslovima registracije u Fina RA mreži koordinira Središnji Fina RA koji je središnja komunikacijska točka Fina RA mreže. Fina može odrediti i drugi odgovarajući način registracije Korisnika. 1.3.4. Pouzdajuće strane Pouzdajuće strane su fizičke osobe ili poslovni subjekti koji su primatelji i djeluju temeljem razumnog pouzdanja u vremenske žigove koje izdaje Fina QTSA 2017. 1.3.5. Ostali sudionici Nema odredbi. HR
strana: 14/56 1.4. Uporaba 1.4.1. Primjerena uporaba Kvalificirani vremenski žigovi koje izdaje Finin servis Fina QTSA 2017 mogu se koristiti za bilo koju primjenu koja zahtjeva dokazivanje postojanja podataka u elektroničkom obliku u vremenu koje je navedeno u izdanom vremenskom žigu. Kvalificirani vremenski žigovi koje izdaje Fina QTSA 2017 koriste se i za očuvanje dugotrajnosti elektroničkih potpisa. 1.4.2. Zabrane uporabe Nije dozvoljena uporaba kvalificiranih za one podatke, odnosno elektroničke zapise čiji je sadržaj protivan Ustavu Republike Hrvatske, prisilnim propisima ili moralu društva. 1.5. Administracija dokumenta Općih pravila 1.5.1. Organizacija odgovorna za održavanje dokumenta Opća pravila Za izradu i održavanje ovog dokumenta Općih pravila ovlaštena je i odgovorna Fina. Ovlaštene osobe iz organizacijskih jedinica Fine koje sudjeluju u izradi, održavanju, implementaciji i odobravanju pravila i postupaka u Fina PKI koja se primjenjuju u pružanju usluga povjerenja u daljnjem tekstu nazivaju se zajedničkim nazivom Fina PMA. Promjene sadržaja ovog dokumenta Općih pravila obavljaju se na temelju internih prijedloga i zahtjeva za usklađivanjem sa zakonskom regulativom i mjerodavnim normama. 1.5.2. Kontakt podaci Kontakt podaci za administraciju i sadržaj ovih Općih pravila: Poštanska adresa: Fina Sektor komercijalnih digitalnih rješenja Ured za upravljanje politikama e-poslovanja Koturaška cesta 43 10000 Zagreb Hrvatska telefon: +385-1-6128-171 telefax: +385-1-6304-081 E-mail: pma@fina.hr 1.5.3. Tijelo koje utvrđuje usklađenost QTPS dokumenta s Općim pravilima Usklađenost QTPS dokumenta [20] s ovim Općim pravilima utvrđuje Fina PMA. 1.5.4. Procedure odobravanja QTPS dokumenta Izrada, odobravanje i stupanje na snagu QTPS dokumenta kojom se potvrđuje njegova sukladnost s ovim Općim pravilima opisana je u točki 1.5.1. i 9.13.1. ovih Općih pravila.
strana: 15/56 1.6. Definicije i kratice 1.6.1. Definicije POJAM Aktivacijski podaci Autentikacija Autor pečata DEFINICIJA Tajni podaci potrebni za pristup ili aktivaciju kriptografskog modula. Aktivacijski podatak može biti PIN, zaporka ili elektronički ključ kojeg osoba zna ili posjeduje. Elektronički postupak koji omogućava da elektronička identifikacija fizičke ili pravne osobe, ili izvornost i cjelovitost podataka u elektroničkom obliku budu potvrđeni. Pravna osoba koja izrađuje elektronički pečat. CA certifikat Certifikat Certifikat javnog ključa za CA kojeg je izdao drugi CA ili kojeg je izdao isti CA. Vidi pojam certifikat javnog ključa. Certifikat za elektronički pečat Certifikat za elektronički potpis Certifikat javnog ključa Certifikacijsko tijelo (CA) Elektronički pečat Elektronički potpis Elektronički vremenski žig Elektronička potvrda koja povezuje podatke za validaciju elektroničkog pečata s pravnom osobom i potvrđuje naziv te osobe. Elektronička potvrda koja povezuje podatke za validaciju elektroničkog potpisa s fizičkom osobom i potvrđuje barem ime ili pseudonim te osobe. Javni ključ Subjekta koji je zajedno s drugim informacijama zaštićen od krivotvorenja digitalnim potpisom izrađenim privatnim ključem certifikacijskog tijela koje je izdalo certifikat. Tijelo koje izrađuje i dodjeljuje certifikate javnog ključa, a kojem vjeruje jedan ili više korisnika. Certifikacijsko tijelo može biti: 1. pružatelj usluga povjerenja koji izrađuje i dodjeljuje certifikate javnog ključa, ili 2. tehnički servis izrade certifikata kojeg upotrebljava pružatelj usluga certificiranja koji izrađuje i dodjeljuje certifikate javnog ključa. Podaci u elektroničkom obliku koji su pridruženi drugim podacima u elektroničkom obliku ili su logički povezani s njima radi osiguravanja izvornosti i cjelovitosti tih podataka. Podaci u elektroničkom obliku koji su pridruženi ili su logički povezani s drugim podacima u elektroničkom obliku i koje Potpisnik koristi za potpisivanje. Podaci u elektroničkom obliku koji povezuju druge podatke u elektroničkom obliku s određenim vremenom i na taj način dokazuju da su ti podaci postojali u to vrijeme. EU kvalificirani certifikat Kvalificirani certifikat kako je specificirano u Uredbi (EU) br. 910/2014. Fina LRA Fina PKI Lokalni registracijski ured u Fina poslovnoj mreži. Infrastruktura javnog ključa (PKI) uspostavljena u Fini koja je namijenjena za pružanje usluga certificiranja fizičkim osobama građanima, Poslovnim subjektima i tijelima državne uprave, a koja je uspostavljena kao treća strana od povjerenja (engl. Trusted Third Party).
strana: 16/56 POJAM Fina RA mreža Fizička osoba - građanin Infrastruktura javnog ključa (PKI) Javni ključ Koordinirano svjetsko vrijeme (UTC) Korisnik Kriptografski modul Kvalificirani certifikat za elektronički pečat Kvalificirani certifikat za elektronički potpis Kvalificirani elektronički pečat Kvalificirani elektronički potpis Kvalificirani elektronički vremenski žig Kvalificirani pružatelj usluga povjerenja DEFINICIJA Mreža registracijskih ureda u Fini, a sastoji se od Središnjeg RA Fine i Fina LRA ureda. Fizička osoba koja uslugu certificiranja traži sa svrhom korištenja certifikata u vlastito ime i za vlastiti račun i isključuje fizičku osobu s registriranom djelatnošću, fizičku osobu u obavljanju slobodnog zanimanja te fizičku osobu koja nastupa u ime i za račun druge fizičke ili pravne osobe (Pripadajuća osoba). Infrastruktura za upravljanje javnim ključevima koji podržavaju usluge autentikacije, enkripcije, cjelovitosti i neporecivosti. U kriptografskom sustavu javnog ključa, javno poznati ključ iz Subjektovog para ključeva. Vremenska ljestvica koja se temelji na sekundi kako je definirana ITU-R preporukom TF.460-5. Za većinu primjena u praksi UTC je ekvivalentan srednjem sunčevom vremenu na nultom meridijanu (0 ). Točnije, UTC je kompromis između vrlo stabilnog atomskog vremena (Temps Atomique International - TAI) i sunčevog vremena koje se izvodi iz nepravilne rotacije Zemlje (u odnosu na dogovoreno Greenwich srednje zvjezdano vrijeme (GMST). Poslovni subjekt ili fizička osoba koja je sklapanjem ugovora s pružateljem usluga povjerenja preuzela ugovorne obveze Korisnika. Softver ili uređaj određene razine sigurnosti koji: generira par ključeva, i/ili štiti kriptografske informacije, i/ili obavlja kriptografske funkcije. Certifikat za elektronički pečat koji izdaje kvalificirani pružatelj usluge povjerenja i koji ispunjava zahtjeve određene u Prilogu III. Uredbe (EU) br. 910/2014 [1]. Certifikat za elektroničke potpise koji izdaje kvalificirani pružatelj usluga povjerenja i koji ispunjava zahtjeve utvrđene u Prilogu I. Uredbe (EU) br. 910/2014 [1]. Napredan elektronički pečat koji je izrađen pomoću sredstava za izradu kvalificiranog elektroničkog pečata i temelji se na kvalificiranom certifikatu za elektronički pečat. Napredan elektronički potpis koji je izrađen pomoću kvalificiranih sredstava za izradu elektroničkog potpisa i temelji se na kvalificiranom certifikatu za elektroničke potpise. Elektronički vremenski žig koji ispunjava sljedeće zahtjeve: (a) povezuje datum i vrijeme s podacima na način kojim se u razumnoj mjeri isključuje mogućnost nezapažene promjene podataka, (b) temelji se na izvoru točnog vremena povezanom s koordiniranim svjetskim vremenom, i (c) potpisan je pomoću naprednog elektroničkog potpisa ili pečaćen pomoću naprednog elektroničkog pečata kvalificiranog pružatelja usluga povjerenja ili jednakovrijednom metodom. Pružatelj usluga povjerenja koji pruža jednu ili više kvalificiranih usluga povjerenja i kojemu je nadzorno tijelo odobrilo kvalificirani status.
strana: 17/56 POJAM Kvalificirano sredstvo za izradu elektroničkog potpisa Lista opozvanih certifikata (CRL) Napredan elektronički pečat Napredan elektronički potpis Opća pravila pružanja usluge certificiranja - Certificate Policy (CP) Opća pravila pružanja usluge izdavanja - Time- Stamp Policy (TP) Opoziv certifikata Par ključeva Podaci za izradu elektroničkog pečata Podaci za izradu elektroničkog potpisa Podaci za validaciju Podaci za verifikaciju potpisa DEFINICIJA Sredstvo za izradu elektroničkog potpisa koje ispunjava zahtjeve utvrđene u Prilogu II Uredbe (EU) br. 910/2014 [1]. Potpisana lista u kojoj su naznačeni certifikati koje izdavatelj certifikata više ne smatra valjanim. Elektronički pečat koji ispunjava sljedeće zahtjeve: (a) na nedvojben način je povezan s Autorom pečata, (b) omogućava identificiranje Autora pečata, (c) izrađen je korištenjem podacima za izradu elektroničkog pečata koje Autor pečata može, uz visoku razinu pouzdanja i pod svojom kontrolom, koristiti za izradu elektroničkog pečata, i (d) povezan je s podacima na koje se odnosi na takav način da se može otkriti bilo koja naknadna izmjena podataka. Elektronički potpis koji ispunjava sljedeće zahtjeve: (a) na nedvojben način je povezan s Potpisnikom, (b) omogućava identificiranje Potpisnika, (c) izrađen je korištenjem podacima za izradu elektroničkog potpisa koje Potpisnik može, uz visoku razinu pouzdanja, koristiti pod svojom isključivom kontrolom, i (d) povezan je s njime potpisanim podacima na način da se može otkriti bilo koja naknadna izmjena podataka. Imenovani skup pravila koji ukazuje na primjenjivost certifikata za određenu skupinu i/ili klasu primjena sa zajedničkim zahtjevima na sigurnost. Imenovani skup pravila koji ukazuje na primjenjivost vremenskog žiga za određenu skupinu i/ili klasu primjena sa zajedničkim zahtjevima na sigurnost. Radnja koja certifikat nepovratno čini nevažećim od trenutka opoziva. Dva jedinstveno povezana kriptografska ključa, od kojih je jedan privatni ključ, a drugi javni ključ. Jedinstveni podaci koje Autor elektroničkog pečata koristi za izradu elektroničkog pečata. Jedinstveni podaci koje Potpisnik koristi za izradu elektroničkog potpisa Podaci koji se koriste za validaciju elektroničkog potpisa ili elektroničkog pečata. Podaci, poput kodova ili javnih kriptografskih ključeva koji se koriste u svrhu verificiranja potpisa.
strana: 18/56 POJAM DEFINICIJA 1. Pravne osobe, primjerice Poslovni subjekt Potpisnik trgovačka društva, kreditne i financijske institucije, javne i privatne ustanove, udruge s pravnom osobnošću, neprofitne i nevladine organizacije s pravnom osobnošću, fondovi s pravnom osobnošću, jedinice lokalne i područne (regionalne) samouprave (općine, gradovi i županije) i dr. 2. Tijela javne vlasti, primjerice tijela državne vlasti, tijela državne uprave, državne agencije i dr. 3. Fizičke osobe s registriranom djelatnošću, primjerice obrtnici, odvjetnici, javni bilježnici i dr. Fizička osoba koja izrađuje elektronički potpis. Pouzdajuća strana Povjerljive uloge Pravilnik o postupcima certificiranja (CPS) Privatni ključ Pružatelj usluga povjerenja QSCD uređaj QTSA sustav RA mreža Registracijski ured (RA) Root CA Root CA certifikat Fizička osoba ili poslovni subjekt koji se oslanja na elektroničku identifikaciju ili uslugu povjerenja. Uloge o kojima ovisi sigurnost rada pružatelja usluga povjerenja. Povjerljive uloge (engl. Trusted Roles) i pripadajuće odgovornosti pružatelj usluga povjerenja jasno opisuje u opisu posla djelatnika. Pravilnik operativnih postupaka koje certifikacijsko tijelo provodi u izdavanju, upravljanju, opozivu ili obnovi certifikata. U kriptografskom sustavu javnog ključa, ključ iz Subjektovog para ključeva koji je poznat samo Subjektu. Fizička ili pravna osoba koja pruža jednu ili više usluga povjerenja bilo kao kvalificirani ili nekvalificirani pružatelj usluga povjerenja. Kvalificirano sredstvo za izradu elektroničkog potpisa/pečata (vidi pojam kvalificirano sredstvo za izradu elektroničkog potpisa, odnosno sredstvo za izradu kvalificiranog elektroničkog pečata. Sustav IT proizvoda i komponenti organiziranih za pružanje usluga izdavanja. Cjelokupna mreža registracijskih tijela, a sastoji se od Fina RA mreže te od vanjskih ugovorenih RA s kojima Fina ima sklopljen ugovor o obavljanju poslova registracije. Tijelo odgovorno za identifikaciju i autentikaciju subjekata certificiranja, kao i drugih osoba ili organizacija. Certifikacijsko tijelo najviše razine unutar domene pružatelja usluga povjerenja i koje potpisuje certifikate subordiniranih CA-ova. CA certifikat kojeg je samom sebi izdao root CA.
strana: 19/56 POJAM Službenik za registraciju Središnji RA Sredstvo za izradu elektroničkog pečata Sredstvo za izradu elektroničkog potpisa DEFINICIJA Osoba odgovorna za potvrđivanje podataka koji su potrebni za izdavanje certifikata i za odobravanje zahtjeva za izdavanje certifikata. Središnji registracijski ured koji je primarno je zadužen za koordiniranje cjelokupne RA mreže, ali može i izravno obavljati registriranje Korisnika Konfigurirani softver ili hardver koji se koristi za izradu elektroničkog pečata. Konfigurirani softver ili hardver koji se koristi za izradu elektroničkog potpisa. Sredstvo za izradu kvalificiranog elektroničkog pečata Sredstvo za izradu elektroničkog pečata koje mutatis mutandis ispunjava zahtjeve određene u Prilogu II. Uredbe (EU) br. 910/2014 [1]. Subjekt Suspenzija certifikata Tijelo za ocjenjivanje sukladnosti Tijelo za upravljanje pravilima certificiranja (PMA) Usluge certificiranja Validacija Validacija certifikata Verifikacija potpisa Entitet identificiran u certifikatu kao nositelj privatnog ključa koji je povezan s javnim ključem sadržanim u certifikatu. Radnja koja certifikat čini nevažećim od trenutka suspenzije. Suspendirani certifikat se reaktivacijom može ponovno učiniti važećim. Tijelo u smislu članka 2. točke 13. Uredbe (EZ) br. 765/2008 koje je u skladu s tom Uredbom ovlašteno kao nadležno za provedbu ocjenjivanja sukladnosti kvalificiranog pružatelja usluga povjerenja i kvalificiranih usluga povjerenja koje on pruža. Tijelo s konačnom ovlašću i odgovornošću za određivanje i odobravanje pravila pružanja usluga povjerenja (engl. Policy Management Authority) Usluge izdavanja i upravljanja životnom ciklusom certifikata te usluge izdavanja. Postupak verifikacije i potvrđivanja da su elektronički potpis ili pečat valjani. Postupak verificiranja i potvrđivanja da je certifikat valjan. Proces provjere kriptografske vrijednosti potpisa korištenjem podataka za verifikaciju potpisa. Tablica 1.3. Definicije 1.6.2. Kratice KRATICA PUNI NAZIV ZNAČENJE CA Certification Authority Certifikacijsko tijelo CP Certificate Policy Opća pravila pružanja usluga certificiranja CP QC-eIDAS CPS CPS QC-eIDAS Certificate Policy for Qualified Certificates for Electronic Signatures and Seals Certification Practice Statement Certification Practice Statement for Qualified Certificates and Opća pravila pružanja usluga certificiranja za kvalificirane certifikate za elektroničke potpise i pečate Pravilnik o postupcima certificiranja Pravilnik o postupcima certificiranja za kvalificirane certifikate za elektroničke
strana: 20/56 KRATICA PUNI NAZIV ZNAČENJE Seals potpise i pečate CRL Certificate Revocation List Lista opozvanih certifikata HSM Hardware Security Module Hardverski kriptografski modul LDAP Lightweight Directory Access Protocol Protokol za pristup informacijskim direktorijima LRA Local Registration Authority Lokalni registracijski ured OCSP Online Certificate Status Protocol Protokol on-line provjere statusa certifikata OID Object Identifier Identifikator objekta PIN Personal Identification Number Osobni tajni broj za aktivaciju smart kartice, USB tokena ili sličnog uređaja PKI Public Key Infrastructure Infrastruktura javnog ključa PMA Policy Management Authority Tijelo za upravljanje pravilima certificiranja QTSA Qualified Time-Stamping Authority RA Registration Authority Registracijsko tijelo Pružatelj usluga izdavanja kvalificiranih elektroničkih TAI International Atomic Time Međunarodno atomsko vrijeme TLS TP Transport Layer Security Time-Stamp Policy Kriptografski protokol za sigurnu razmjenu podataka putem Interneta Opća pravila pružanja usluge izdavanja elektroničkih TSU Time-Stamping Unit Jedinica za izradu vremenskog žiga UTC Coordinated Universal Time Koordinirano svjetsko vrijeme Tablica 1.4. Kratice
strana: 21/56 2. OBJAVE I ODGOVORNOSTI ZA REPOZITORIJ 2.1. Identifikacija tijela koje vodi repozitorij Fina PKI repozitorij vodi Fina kao kvalificirani pružatelj usluga povjerenja. Fina je odgovorna za rad Fina PKI repozitorija te za objavu dokumenata i informacija na repozitoriju. Fina osigurava dostupnost repozitorija na internetskim stranicama uz raspoloživost 24 sata na dan, 7 dana u tjednu. 2.2. Objava informacija o izdavanju Na Fina PKI repozitoriju javno su objavljeni dokumenti i informacije o pružanju usluga izdavanja : aktualna kvalificiranih, aktualni Pravilnik o postupcima pružanja usluga izdavanja kvalificiranih, prijašnje verzije Općih pravila pružanja usluga izdavanja kvalificiranih i Pravilnika o postupcima davanja usluga izdavanja vremenskih žigova, uvjeti pružanja usluga izdavanja elektroničkih i Izjava o pružanju usluga izdavanja elektroničkih, certifikat TSU kojeg Fina QTSA 2017 servis koristi pri potpisivanju, cjenik usluga izdavanja, obrazac zahtjeva za pristupanje FINA Servisu vremenske ovjere, informacije o certifikatu za potpis vremenskog žiga, aktualne lokacije Fina RA/LRA ureda, Korisničke upute, obavijesti korisnicima vezane uz pružanje usluga izdavanja, ostale informacije vezane uz rad Fina QTSA. Javno objavljeni sadržaj Fina QTSA repozitorija, koji je sastavni dio Fina PKI repozitorija, dostupan je s internetske adrese http://www.fina.hr/finadigicert. U Fina PKI repozitoriju ne objavljuju se povjerljivi podaci. 2.3. Vrijeme ili učestalost objavljivanja Fina na godišnjoj razini i prema potrebi održava i ažurira i Pravilnik o postupcima pružanja usluga izdavanja te ih nakon odobrenja objavljuje. Drugi Fina PKI dokumenti i ostale relevantne informacije objavljuju se prema potrebi, nakon odobrenja. 2.4. Kontrole pristupa repozitoriju Dokumenti i informacije objavljene na Fina PKI repozitoriju su besplatne i javno dostupne. Fina na repozitoriju ima uspostavljene kontrole pristupa u cilju sprječavanja neautoriziranog dodavanja, promjene ili brisanja informacija te zaštite njihove cjelovitosti i autentičnosti. Pravo dodavanja, promjene ili brisanja informacija na Fina PKI repozitoriju imaju ovlaštene osobe Fine.
strana: 22/56 3. IDENTIFIKACIJA KORISNIKA I IZDAVANJE ELEKTRONIČKIH VREMENSKIH ŽIGOVA 3.1. Identifikacija Korisnika Fina QTSA 2017 pruža uslugu izdavanja (u daljnjem tekstu: elektronički vremenski žig) samo registriranim korisnicima. Ako Korisnik već ima važeći digitalni certifikat izdan od Fine ili od pružatelja usluga povjerenja koje Fina odobri i kojim će pristupati Fininom servisu za izdavanje elektroničkih treba popuniti i ovjeriti pristupnicu za Fininu uslugu izdavanja elektroničkih te je zajedno s dva primjerka ovjerenih ugovora o korištenju usluge izdavanja elektroničkih vremenskih žigova dostaviti u Fina LRA. Obrazac pristupnice i ugovora nalaze se na internetskim stranicama Fine http://www.fina.hr/finadigicert. Ako Korisnik nema odgovarajući digitalni certifikat, uz pristupnicu i ugovore za korištenje usluge vremenskog žiga treba zatražiti i izdavanje Fininog digitalnog certifikata kojim će pristupati Fininoj usluzi izdavanja elektroničkih. Nakon registracije Korisnik s Finom sklapa ugovor o korištenju Finine usluge izdavanja elektroničkih. 3.1.1. Inicijalno utvrđivanje identiteta Korisnika Fina prikuplja osobne podatke fizičkih osoba i podatke poslovnih subjekata isključivo za potrebe registracije u cilju izdavanja elektroničkih. Provjeru podataka koji se prikupljaju u postupku registracije Korisnika Fina provodi njihovom usporedbom s podacima iz dostavljene dokumentacije te ukoliko je primjenjivo korištenjem komunikacijskih kanala sukladno važećoj zakonskoj regulativi. Za korištenje usluge izdavanja elektroničkih korisnici podnose pravilno ispunjenu i potpisanu pristupnicu. Za Korisnike digitalnih certifikata već je provedena identifikacija Korisnika pa za korištenje usluge izdavanja elektroničkih Korisnici u Fina LRA registracijski ured dostavljaju samo pristupnicu prema točki 3.1.2. ovog QTPS dokumenta. 3.1.2. Način dostave pristupnice Pristupnica se može dostaviti na sljedeće načine: osobno podnošenje u Fina LRA registracijskom uredu, poštanskom dostavom ili preko dostavljača u Fina LRA registracijskom uredu, elektroničkom dostavom pristupnice potpisane naprednim elektroničkim potpisom uz korištenje kvalificiranog certifikata. 3.1.3. Sklapanje ugovora Ugovor o pružanju usluga izdavanja elektroničkih je ugovor koji sukladno Uvjetima o pružanju usluge izdavanja, općim
strana: 23/56 propisima obveznog prava, Općih pravila pružanja usluga izdavanja i propisima koji uređuju pružanje usluge izdavanja elektroničkih vremenskih žigova, sklapaju Korisnici i Fina kao pružatelj usluge. 3.2. Identifikacija i autentikacija na Fina QTSA 2017 servis Registrirani Korisnici pristupaju usluzi izdavanja elektroničkih uz autentikaciju autentikacijskim ili aplikacijskim certifikatom kojeg je izdala Fina. Registrirani Korisnici mogu pristupiti usluzi izdavanja elektroničkih i uz autentikaciju certifikatom izdanim od drugih pružatelja usluga povjerenja koje Fina prihvati Fina može Korisnicima odobriti i drugi odgovarajući način autentikacije Korisnika (npr. korisničko ime i zaporka). URL adrese za autentikaciju na Fina QTSA servis, ovisno o metodi autentikacije su: autentikacija certifikatom: https://tsa.fina.hr/ts-rfc3161, autentikacija korisničkim imenom i zaporkom: https://tsa.fina.hr:3443/ts-rfc3161. Finini interni Korisnici pristupaju Fininom servisu za izdavanje temeljem IP adresnog područja za Finine Korisnike. 3.3. Certifikat jedinice za izradu vremenskog žiga Fina QTSA javno objavljuje javni ključ jedinice za izradu vremenskog žiga (TSU) kao sadržaj certifikata Fina QTSA 2017 na repozitoriju iz točke 2.2. ovih Općih pravila. Certifikat za TSU izdaje Fina RDC 2015 CA sukladno zahtjevima normi ETSI EN 319 411-2 [8]. Prije početka izdavanja elektroničkih Fina QTSA 2017 učitava svoj certifikat za TSU. Pri dobivanju svojeg TSU certifikata Fina QTSA 2017 provjerava je li Fina RDC 2015 CA ispravno potpisao TSU certifikat. 3.4. Elektronički vremenski žig Elektronički vremenski žigovi potpisuju se RSA privatnim ključem Fina QTSA 2017 servisa, duljine 2048 bitova uz korištenje kriptografskih algoritama SHA-256 i RSA. Fina QTSA 2017 osigurava da se elektronički vremenski žigovi izdaju na siguran način i s točnom oznakom vremena. Za svaki elektronički vremenski žig osigurava se: da sadrži OID ovih općih pravila po kojem je izdan (QTP OID), da ima jedinstveni identifikator, da se vrijeme korišteno u TSU može povezati sa stvarnim vremenom dostavljenim od pouzdanog izvora, da sadrži točan podatak o vremenu iz TSU u vrijeme izdavanja elektroničkog vremenskog žiga, da sadrži hash reprezentaciju elektroničkog zapisa za koji se izdaje elektronički vremenski žig, da je potpisan privatnim TSU ključem koji ima isključivu namjenu potpisivanja vremenskog žiga, identifikator države u kojoj je Fina QTSA ima sjedište,
strana: 24/56 identifikator za Fina QTSA 2017, identifikator TSU koja je izdala elektronički vremenski žig. Elektronički vremenski žig izdaje se sukladno preporuci ITF RFC 3161 [12] i normi ETSI EN 319 421 [5] te s profilom usklađenim s normom ETSI EN 319 422 [6]. Samo jedan privatni TSU ključ je istovremeno aktivan. Fina QTSA 2017 servis za izdavanje elektroničkih podržava zahtjeve za izdavanje elektroničkih sukladno normi ETSI EN 319 422 [6] i preporuci IETF RFC 3161 [12]. 3.4.1. Zahtjev za izdavanje vremenskog žiga (Time-Stamp Request) Zahtjev za izdavanje elektroničkog vremenskog žiga u skladu je s normom ETSI EN 319 422 [6] i točkom 2.4.2. u dokumentu IETF RFC 3161 [12]. Podržana polja u zahtjevu za izdavanje elektroničkog vremenskog žiga opisana su u QTPS dokumentu [20]. Korisnik koji od Fina QTSA 2017 zahtijeva izdavanje vremenskog žiga mora ostvariti autenticiranu konekciju s komunikacijskim poslužiteljem Fina QTSA 2017 sustava. U slučaju neuspjele konekcije transakcija će biti prekinuta, a Korisnik će na odgovarajući način biti obaviješten o neuspjeloj konekciji. Klijentska aplikacija na strani Korisnika koja se koristi za ugradnju vremenskog žiga, treba podržavati protokol za elektronički vremenski žig sukladan s preporukom IETF RFC 3161 [12]. 3.4.2. Odgovor servisa za izdavanje elektroničkih (Time-Stamp Response) Odgovor Fina QTSA 2017 servisa za izdavanje elektroničkih na zahtjev za izdavanje elektroničkog vremenskog žiga u skladu je s normom ETSI EN 319 422 [6] i točkom 2.4.2. u dokumentu IETF RFC 3161 [12]. Podržana polja odgovoru Fina QTSA 2017 servisa za izdavanje elektroničkih opisana su u QTPS dokumentu [20]. 3.5. Profil vremenskog žiga Osnovni podaci o profilu koje izdaje Fina QTSA 2017 servis dani su u Tablici 3.1. Polje Vrijednosti za kvalificirani elektronički vremenski žig kojeg izdaje Fina QTSA 2017 servis Version V1, vrijednost= 1 Policy OID Fina OID: 1.3.124.1104.2.3.1.1.3 messageimprint Podržani hash algoritam: sha-256 (OID: 2.16.840.1.101.3.4.2.1) serialnumber Cijeli broj gentime UTC vrijeme, razlučivost od 1 s ordering FALSE Nonce Cijeli broj signaturealgorithm sha256withrsaencryption (OID: 1.2.840.113549.1.1.11) Tablica 3.1. Osnovni podaci o kvalificiranom elektroničkom vremenskog žigu kojeg izdaje Fina QTSA 2017 servis
strana: 25/56 3.6. Točnost vremena u izdanim elektroničkim vremenskim žigovima Fina kao pružatelj usluga izdavanja obvezuje se na točnost podataka o vremenu ugrađenom u elektronički vremenski žig. Podatak o UTC vremenu koji se ugrađuje u svaki pojedini elektronički vremenski žig ima zajamčenu točnost 1 s. Fina QTSA 2017 neće izdavati vremenske žigove se ako se ustanovi da je vrijeme koje koristi Fina QTSA 2017 TSU izvan deklarirane točnosti. 3.7. Sinkronizacija sata s UTC Fina QTSA osigurava da je vrijeme Fina QTSA 2017 sustava sinkronizirano s UTC vremenom, unutar preciznosti propisane u točki 3.6. ovih Općih pravila, a posebno: periodičnom kalibracijom sata, zaštitom od neautorizirane izmjene vremena TSU, detekcijom pomaka ili ispada iz sinkroniziranosti s UTC vremenom, uračunavanjem leap second događaja. Primarni izvor pouzdanog UTC vremena u Fina QTSA 2017 sustavu je satelitski GPS signal. Kao alternativni pouzdani izvor UTC vremena Fina QTSA 2017 sustav koristi podatak o UTC vremenu dobiven od strane ovlaštenog referentnog laboratorija putem internetske veze korištenjem NTP protokola. U slučaju ispada primarnog izvora pouzdanog UTC vremena Fina QTSA 2017 sustav automatski prelazi na alternativni pouzdani izvor UTC vremena. 3.7.1. Ljetno računanje vremena Fina QTSA 2017 servis u izdanim elektroničkim vremenskim žigovima upisuje vrijeme u UTC formatu. Preporuka je Korisnicima i pouzdajućim stranama da provjere na koji način klijentska aplikacija prikazuje vrijeme u izdanim elektroničkim vremenskim žigovima te da obrate pozornost na prikazivanje lokalnog vremena u različitim vremenskim zonama, a naročito u vrijeme prelaska na ljetno računanje vremena. 3.8. Provjera valjanosti vremenskog žiga Provjeru valjanosti elektroničkog potpisa Fina QTSA 2017 servisa u vremenskom žigu pouzdajuće strane trebaju provoditi prema zahtjevima normizacijskog dokumenta ETSI EN 319 102-1 [10]. Provjera valjanosti elektroničkog vremenskog žiga obuhvaća sljedeće provjere: provjeru da su podaci za koje je tražen elektroničkim vremenski žig povezani s tim elektroničkim vremenskim žigom i TSU certifikatom Fina QTSA 2017 servisa, validaciju potpisa kojim je potpisa elektronički vremenski žig,
strana: 26/56 provjeru da izdani elektronički vremenski žig ispunjava specifične zahtjeve u pogledu točnosti, pouzdanosti i odgovornosti Fina QTSA 2017 servisa, odnosno Fine kao kvalificiranog pružatelja usluga. 3.9. Raspoloživost usluge Fina kao pružatelj usluga izdavanja jamči kontinuiranu dostupnost usluge izdavanja elektroničkih i Uvjeta pružanja usluge. 3.10. Izdavanje ne TSU jedinice Fina QTSA 2017 servisa za izdavanje izdaju samo kvalificirane elektroničke vremenske žigove. 3.11. Transportni protokol za uslugu izdavanja elektroničkih Fina QTSA 2017 servis koristi siguran HTTPS protokol (TLS) - uz klijentsku autentikaciju certifikatom two-way TLS).
strana: 27/56 4. OPERATIVNI ZAHTJEVI NA ŽIVOTNI CIKLUS CERTIFIKATA ZA FINA QTSA 2017 4.1. Izdavanje certifikata Izdavanje Fina QTSA 2017 certifikata obavljaju ovlaštene osobe s povjerljivim ulogama u Fina PKI, pod dualnom kontrolom, u Fina PKI štićenom prostoru. 4.2. Opoziv i suspenzija certifikata Opoziv certifikata za Fina QTSA 2017 servis provodi se sukladno niže navedenim točkama. Suspenzija certifikata za Fina QTSA 2017 servis nije dozvoljena. 4.2.1. Razlozi za opoziv Fina QTSA 2017 certifikat opoziva se iz sljedećih razloga: u slučaju kompromitiranja privatnog ključa ili ako se pojavi osnovana sumnja da je privatni ključ kompromitiran, ako neka od informacija sadržanih u certifikatu postane netočna, u slučaju trajne nedostupnosti ili gubitka privatnog ključa, u slučaju zabranjene uporabe privatnog TSU ključa, ako Fina procjeni da Fina QTSA 2017 certifikat svojim tehničkim karakteristikama, profilom ili sadržajem ne pruža prikladnu razinu povjerenja pouzdajućim stranama, ako Fina QTSA 2017 prestaje s radom, a Fina nije u mogućnosti osigurati nastavak pružanja usluga kod drugog kvalificiranog pružatelja usluga, ako certifikat nije izdan sukladno zahtjevu ili odredbama ovih Općih pravila. 4.2.2. Tko može tražiti opoziv Zahtjev za opoziv Fina QTSA 2017 certifikata može podnijeti ovlaštena osoba u Fina QTSA uz odobrenje odgovorne osobe Fina QTSA. 4.2.3. Učestalost izdavanja CRL Fina RDC 2015 CA izdaje i potpisuje Fina RDC 2015 CRL. CRL se objavljuje odmah po opozivu certifikata te svakih šest sati od prethodnog izdavanja CRL. 4.2.4. Maksimalno kašnjenje za CRL Maksimalno kašnjenje CRL od trenutka njenog izdavanja do trenutka objave u redovitim uvjetima iznosi dvije minute. 4.2.5. Zahtjevi na online provjeru statusa opozvanosti certifikata Fina RDC 2015 i Fina RDC-TDU 2015 CA-ovi podržavaju online provjeru statusa opozvanosti izdanih certifikata putem Fina OCSP servisa čiji je rad usklađen s preporukom IETF RFC 6960 [15].