A-CERT Certificate Policy ... 2005/08/30 آ  Veerrpp fflliicchh ttuu nn gg eenn uu nn dd Haa ffttuu...

download A-CERT Certificate Policy ... 2005/08/30 آ  Veerrpp fflliicchh ttuu nn gg eenn uu nn dd Haa ffttuu nn

of 23

  • date post

    03-Oct-2020
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of A-CERT Certificate Policy ... 2005/08/30 آ  Veerrpp fflliicchh ttuu nn gg eenn uu nn dd Haa ffttuu...

  • ARGE DATEN

    ARGE DATEN - Österreichische Gesellschaft für Datenschutz http://www.argedaten.atA-1160 Wien, Redtenbachergasse 20 +43/1/4803209, Fax +43/1/4803209PSK 7214.741 (BLZ 60.000), DVR: 0530794 e-mail: info@argedaten.at

    A-CERT Certificate Policy [gültig für A-CERT ADVANCED Zertifikate fürgewöhnliche und fortgeschrittene Signaturen]

    Version 1.4/Dezember 05 - a-cert-certificate-policy.050830.docOID-Nummer: 1.2.40.0.24.1.1.1.3

    ARGE DATEN - Österreichische Gesellschaft für Datenschutz 2005

  • AA --CC EERRTT CC eerrttiiffiiccaa ttee PPoo lliiccyy

    A-CERT Certificate Policy/Dezember 05 (Druck: 10.12.05 15:45) a-cert-certificate-policy.050830.doc 2/23

    IINN HHAALLTT:: Inhalt:.............................................................................................. 2I. Grundlagen............................................................................. 3

    A. Definitionen und Kurzbezeichnungen ...................................................3 B. Überblick ...........................................................................................4 C. Anwendungsbereich............................................................................5II. Verpflichtungen und Haftungsbestimmungen............................. 5 A. Verpflichtungen des Herausgebers .......................................................5 B. Verpflichtungen des Signators..............................................................6 C. Verpflichtungen des Empfängers von Zertifikaten ..................................7 D. Haftung..............................................................................................7III. Spezifikationen zur Erbringung von Zertifizierungsdiensten ......... 8 A. Allgemeines........................................................................................8 B. Operative Maßnahmen zur Bereitstellung des Zertifizierungsdienstes .....8 C. Schlüsselverwaltung ............................................................................9 1. Erzeugung der CA Schlüssel ......................................................................................9 2. Speicherung der CA Schlüssel ...................................................................................9 3. Verteilung der öffentlichen CA Schlüssel.....................................................................9 4. Schlüsseloffenlegung ................................................................................................9 5. Verwendungszweck von CA Schlüsseln.......................................................................9 6. Ende der Gültigkeitsperiode von CA Schlüsseln ..........................................................9 7. Erzeugung der Schlüssel für die Signatoren ..............................................................10D. Zertifikate der Antragsteller................................................................10 1. Antragstellung ........................................................................................................10 2. Antragsprüfung ......................................................................................................11 3. Antragsbearbeitung ................................................................................................12 4. Antragsarchivierung................................................................................................13 5. Zertifikaterstellung ..................................................................................................13 6. Zertifikatsinhalt.......................................................................................................13 7. Verlängerung der Gültigkeitsdauer eines Zertifikats, Ausstellung von weiterenZertifikaten und Neuausstellungen...........................................................................13E. Bekanntmachung der Vertragsbedingungen .......................................14 F. Veröffentlichung der Zertifikate ..........................................................14 G. Widerruf...........................................................................................15 H. Widerrufsinhalt .................................................................................15IV. A-CERT Betriebsorganisation .................................................. 16

  • AA --CC EERRTT CC eerrttiiffiiccaa ttee PPoo lliiccyy

    A-CERT Certificate Policy/Dezember 05 (Druck: 10.12.05 15:45) a-cert-certificate-policy.050830.doc 3/23

    A. Sicherheitsmanagement ....................................................................16 B. Zugriffsverwaltung ............................................................................17 C. Personelle Sicherheitsmaßnahmen.....................................................18 D. Physikalische und organisatorische Sicherheitsmaßnahmen.................18 E. Laufende betriebliche Maßnahmen....................................................19 F. Systementwicklung ............................................................................20 G. Erhaltung des ungestörten Betriebes und Behandlung von Zwischenfällen.......................................................................................................20V. Sonstiges............................................................................... 20 A. Einstellung der Tätigkeit ....................................................................20 B. Information gem. DSG 2000.............................................................21Anhang ......................................................................................... 22

    AA NN HHAANN GG :: Anhang A: Literaturliste................................................................... 22Anhang B: Dokumenteninformation ................................................ 22

    II.. GG RRUU NN DD LLAAGG EENN AA .. DD EEFFIINN IITTIIOO NN EENN UU NN DD KKUU RRZZBBEEZZEEIICC HHNN UUNN GG EENN Herausgeber

    Herausgeber dieser Certificate Policy ist die ARGE DATEN -

    Österreichische Gesellschaft für Datenschutz

    A-CERT

    Ist der Sammelbegriff für alle Zertifizierungsdienste des

    Herausgebers. Unterschiedliche Zertifizierungsdienste werden mit

    Zusätzen zu A-CERT gekennzeichnet.

    Policy

    Die in diesem Dokument beschriebene A-CERT Certification Policy

    wird im Folgenden kurz als "Policy" bezeichnet. Diese Policy ist

    als Rahmen zu verstehen, innerhalb dessen die

    Zertifizierungsdienste erbracht werden. Dieser Rahmen kann nicht

    erweitert werden. Eine Einschränkung der Anwendbarkeit der Policy

    auf bestimmte Zertifizierungsfälle und Signaturvorgänge ist jedoch

  • GG rruunndd llaaggeenn ÜÜ bbeerrbb lliicckk

    A-CERT Certificate Policy, Version 1.35/Dezember 05 ) Seite 4/23

    durch Vereinbarungen möglich. Die AGB's des Herausgebers oder

    zusätzliche Vereinbarungen der Partnerunternehmen können jedoch

    nicht die vorliegende Policy ganz oder teilweise außer Kraft

    setzen. Die zu A-CERT ADVANCED gültige Policy wird im vorliegenden

    Dokument beschrieben und hat die OID-Nummer 1.2.40.0.24.1.1.1.3.

    Historische Versionen des Dokuments sind bei der Aufsichtstelle

    abzurufen oder unter der OID-Nummer 1.2.40.0.24.1.1.1.99 abgelegt.

    Testzertifikate

    Bezeichnet Zertifikate, die auf Basis des X.509-Standards zu

    Testzwecken an Dritte ausgestellt werden. Eine Identitätsprüfung

    der Antragsteller (Signatoren) findet nicht statt. Testzertifikate

    sind erkennbar, wenn zumindest eine der Bedingungen erfüllt ist: - die CN-Bezeichnung des Herausgebers (Issuer) lautet A-CERT

    FREECERT, A-CERT GOVERNMENT TEST,

    - die O-Bezeichnung (Organisationsbezeichnung) des

    Antragstellers (Subject) hat den führenden Vermerk "Test: ", bei

    Privatpersonen den Eintrag "Testzertifikat",

    - das Zertifikat enthält das zusätzliche X.509v3-Attribut 1.2.40.0.24.4.1.0=DER:01:01:FF (Testeigenschaft = TRUE).

    Die Kennzeichen eines Testzertifikats können in beliebigen

    Kombinationen auftreten. Für diese Zertifikate gilt abweichend die

    Certificate Policy für Testzertifikate (OID-Nummer:

    1.2.40.0.24.1.1.4.1).

    Antragsteller

    Der Signator, der auf Basis dieser Policy, der AGB's des

    Herausgebers und allfälliger zusätzlicher Geschäftsbedingungen der

    Partnerunternehmen einen Antrag auf die Ausstellung eines

    Zertifikats stellt, wird im Folgenden als Antragsteller

    bezeichnet.

    Registrierungsstelle

    Die Geschäftsstellen des Herausgebers und weitere vom Herausgeber

    autorisierte Stellen und Personen zur Entgegennahme und Prüfung

    von Zertifizierungsanträgen.

    Signaturbestimmungen

    Gesamtheit der in den Dokumenten [SigG], [SigV], [SigRL] (=EU-

    Signaturrichtlinie) verabschiedeten Bestimmungen.

    Aufsichtsbehörde

    Die für die A-CERT Zertifizierungsdienste zuständige

    Aufsichtsbehörde.

    Ansonsten werden die Begriffe gemäß SigG, SigV, SigRL, gem. X.509,

    den RFCs 3280 und 3647 verwendet.

    BB.. ÜÜ BBEERRBBLLIICC KK Die vorliegende Certificate Policy enthält alle Regeln für die

    Ausstellung und Verwendung von Zertifikaten für gewöhnliche und

  • VVeerrppfflliicchhttuunnggeenn uunndd HHaa ffttuunnggssbbeessttiimmmmuunnggeenn AAnnwweenndduunnggssbbeerreeiicchh

    A-CERT Certificate Policy, Version 1.35/Dezember 05 ) Seite 5/23

    fortgeschrittene Signaturen. Die Zertifikate entsprechen der

    Definition §2 Abs. 8 [SigG].

    Diese Policy wurde in Übereinstimmung mit den Signaturbestimmungen

    verfasst und bildet gemeinsam mit den "A