KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER KOMMISSIONENS BESLUTNING. af

Transkript

1 DA DA DA

2 KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den K(2008) 8657 endelig OFFENTLIGGØRES IKKE KOMMISSIONENS BESLUTNING af om fastsættelse af en certifikatpolitik som krævet i de tekniske specifikationer for standarderne for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, og om ajourføring af henvisningerne til standarddokumenterne DA DA

3 KOMMISSIONENS BESLUTNING af om fastsættelse af en certifikatpolitik som krævet i de tekniske specifikationer for standarderne for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, og om ajourføring af henvisningerne til standarddokumenterne (Kun den bulgarske, den estiske, den finske, den franske, den græske, den italienske, den lettiske, den litauiske, den maltesiske, den nederlandske, den polske, den portugisiske, den rumænske, den slovakiske, den slovenske, den spanske, den svenske, den tjekkiske, den tyske og den ungarske udgave er autentiske) KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR - under henvisning til Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, i det følgende benævnt "forordningen", særlig artikel 2, og de tekniske specifikationer, som er fastsat i Kommissionens beslutning K(2006) 2909 af 28. juni 2006, og ud fra følgende betragtninger: (1) I henhold til Kommissionens beslutning K(2006) 2909 af 28. juni 2006 skal der på et senere tidspunkt indføres en certifikatpolitik for at sikre en ensartet gennemførelse i alle medlemsstaterne. (2) Samtidig ajourføres henvisningerne til standarder, så de kommer til at omfatte de senest foreliggende udgaver, der ikke indeholder nogen væsentlige ændringer i forhold til de tidligere udgaver. (3) Disse referencedokumenter betragtes som ekstra referencedokumenter, som ikke har indvirkning på tidsplanen for gennemførelsen af forordning (EF) nr. 2252/2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder. (4) I medfør af Rådets afgørelse 2000/365/EF af 29. maj 2000 om anmodningen fra Det Forenede Kongerige Storbritannien og Nordirland om at deltage i visse bestemmelser i Schengenreglerne har Det Forenede Kongerige ikke deltaget i vedtagelsen af forordningen, som ikke er bindende for og ikke finder anvendelse i Det Forenede Kongerige, da den udgør en videreudvikling af bestemmelserne i Schengenreglerne. Denne beslutning er derfor ikke rettet til Det Forenede Kongerige. (5) I medfør af Rådets afgørelse 2002/192/EF af 28. februar 2002 om Irlands anmodning om at deltage i visse bestemmelser i Schengenreglerne har Irland ikke deltaget i vedtagelsen af forordningen, som ikke er bindende for og ikke finder anvendelse i DA 2 DA

4 Irland, da den udgør en videreudvikling af bestemmelserne i Schengenreglerne. Denne beslutning er derfor ikke rettet til Irland. (6) I medfør af artikel 1 og 2 i protokollen om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om oprettelse af Det Europæiske Fællesskab, har Danmark ikke deltaget i vedtagelsen af forordningen, som derfor ikke er bindende for og ikke finder anvendelse i Danmark. Da forordningen tager sigte på at udbygge Schengenreglerne efter bestemmelserne i afsnit IV i tredje del af traktaten om oprettelse af Det Europæiske Fællesskab, har Danmark imidlertid efter artikel 5 i nævnte protokol ved brev af 6. juni 2005 meddelt, at landet har gennemført forordningen i sin nationale lovgivning. Det er derfor i henhold til folkeretten forpligtet til at gennemføre denne beslutning. Danmark bør således have et eksemplar af denne beslutning. (7) Hvad angår Island og Norge, udgør forordningen en videreudvikling af bestemmelserne i Schengenreglerne på det område, der er nævnt i artikel 1, litra B, i Rådets afgørelse 1999/437/EF af 17. maj 1999 om visse gennemførelsesbestemmelser til den aftale, som Rådet for Den Europæiske Union har indgået med Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne. Denne kommissionsbeslutning er derfor bindende for Norge og Island. (8) Hvad angår Schweiz, udgør forordningen en videreudvikling af bestemmelserne i Schengenreglerne som omhandlet i den aftale, som Den Europæiske Union og Det Europæiske Fællesskab har indgået med Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, som falder ind under det område, der er omhandlet i artikel 4, stk. 1, i Rådets afgørelse om undertegnelse på Det Europæiske Fællesskabs vegne og midlertidig anvendelse af visse bestemmelser i den pågældende aftale. (9) Foranstaltningerne i denne beslutning er i overensstemmelse med udtalelsen fra det udvalg, som er nedsat ved artikel 6 i forordning (EF) nr. 1683/95 - VEDTAGET FØLGENDE BESLUTNING: Artikel 1 1. I overensstemmelse med punkt i bilaget til beslutning K(2006) 2909 af 28. juni 2006 fastlægges den fælles certifikatpolitik som anført i bilag De henvisninger til standarder, som er anført i punkt 7 i bilaget til beslutning K(2006) 2909 af 28. juni 2006, ajourføres som anført i bilag 2. Artikel 2 Denne beslutning er rettet til Kongeriget Belgien, Republikken Bulgarien, Den Tjekkiske Republik, Forbundsrepublikken Tyskland, Republikken Estland, Den Hellenske Republik, Kongeriget Spanien, Den Franske Republik, Den Italienske Republik, Republikken Cypern, Republikken Letland, Republikken Litauen, Storhertugdømmet Luxembourg, Republikken Ungarn, Republikken Malta, Kongeriget Nederlandene, Republikken Østrig, Republikken DA 3 DA

5 Polen, Den Portugisiske Republik, Rumænien, Republikken Slovenien, Den Slovakiske Republik, Republikken Finland og Kongeriget Sverige. Den skal fremsendes til Republikken Island, Kongeriget Norge og Det Schweiziske Forbund. Artikel 3 Denne beslutning erstatter Kommissionens beslutning K(2008) 4336 endelig af 25. september Udfærdiget i Bruxelles, På Kommissionens vegne Jacques BARROT Næstformand DA 4 DA

6 BILAG BILAG I TIL KOMMISSIONENS BESLUTING AF K(2008). FÆLLES CERTIFIKATPOLITIK FOR DEN UDVIDEDE ADGANGSKONTROLINFRASTRUKTUR FOR PAS OG REJSEDOKUMENTER, SOM EU-MEDLEMSSTATERNE UDSTEDER Udgave marts INDLEDNING Formålet med certifikatpolitikken er at skabe tillid og sikre tilstrækkelig interoperabilitet mellem Country Verifying Certification Authorities (CVCA) og Document Verifiers (DV) i de forskellige medlemsstater, således at EAC-PKI (PKI-infrastrukturen for den udvidede adgangskontrol) kan fungere. Denne certifikatpolitik er udformet i overensstemmelse med artikel i de tekniske specifikationer for standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, der udstedes af medlemsstaterne, som fastsat i Kommissionens beslutning K(2006) Certifikatpolitikken vedrører kun brugen af certifikater til at kontrollere adgangen til fingeraftryksbiometri i pas og rejsedokumenter med udvidet adgangskontrol i forbindelse med grænsekontrol. I den fælles certifikatpolitik fastsættes et fælles sæt minimumskrav, som den enkelte medlemsstat SKAL basere sin nationale certifikatpolitik for brugen af certifikater på i forbindelse med grænsekontrol. En national certifikatpolitik SKAL mindst opfylde standarderne i den fælles certifikatpolitik, men der KAN indføres yderligere restriktioner for kontrollen og brugen af certifikater i den enkelte medlemsstat. En medlemsstat MÅ IKKE kræve, at en DV i en anden medlemsstat skal vedtage restriktioner, der er strengere end dem, der er fastsat i den fælles certifikatpolitik, som forudsætning for at udstede et certifikat til den pågældende DV. Et CVCA's udstedelse af certifikater til en indenlandsk DV er ikke omfattet af den fælles certifikatpolitik. Certifikatpolitikken er baseret på de tekniske retningslinjer "Advanced Security Mechanisms for Machine Readable Travel Documents Extended Access Control (EAC)", version 1.1.1, TR-03110, der er udsendt af "Bundesamt fur Sicherheit in der Informationstechnik" (kontoret for sikkerhed inden for informationsteknik (herefter benævnt "TR-EAC"). 1 Ikke offentliggjort i Den Europæiske Unions Tidende findes på DA 5 DA

7 1.1. Oversigt En certifikatpolitik er et sæt regler for anvendelsen af et certifikat på et bestemt anvendelsesområde og/eller -klasse med fælles sikkerhedskrav. For både CVCA'er og DV'er har denne politik samme værdi som den såkaldte "Extended Normalized Certificate Policy (NCP+)" som defineret i ETSI TS , version ( ). Certifikatpolitikken fungerer inden for rammerne af PKI-infrastrukturen som beskrevet i TR- EAC, afsnit 2.2. ("Public Key Infrastructure") Dokumentbetegnelse og -identifikation Den fælles certifikatpolitik identificeres ved dens benævnelse og versionnummer. En national certifikatpolitik SKAL indeholde en objektidentifikator (OID), som entydigt SKAL identificere dokumentet og versionen PKI-deltagere I dette afsnit gives et overblik over certificeringscentre, certifikatindehavere, registreringsenheder og signaturmodtagere i forbindelse med EAC-PKI (Extended Access Control Public Key Infrastructure). EAC-PKI er en del af den internationale sikkerhedsinfrastruktur til sikring og verifikation af integriteten og ægtheden af maskinlæsbare rejsedokumenter (MRTD), som en medlemsstat har udstedt. Tabel 1 giver et overblik over alle PKI-deltagere. Certification Authority (certificeringscenter) Registration Authority (registreringsenhed) Certifikatindehaver Signaturmodtager Country Verifying Certification Authority (CVCA) X X Document Verifier (DV) X X X X Kontrolsystem (Inspection System (IS)) Machine Readable Travel Document (MRTD) Tabel 1 Oversigt over PKI-deltagerne i en EAC-PKI Certificeringscentre X X X Country Verifying Certification Authority. Rodcertificeringscentret (CA) i en national EAC-PKI kaldes Country Verifying Certification Authority (CVCA). Offentlige nøgler i et DA 6 DA

8 nationalt CVCA er indeholdt i både selvsignerede CVCA-certifikater og link-cvcacertifikater. Begge klasser kaldes CVCA-certifikater. Et nationalt CVCA afgør, hvem der har adgangsret til følsomme data, der er lagret på chips på indenlandske, maskinlæsbare rejsedokumenter for alle DV'er (dvs. både indenlandske DV'er og udenlandske DV'er) ved at udstede DV-certifikater med adgangskontrolattributter. Et nationalt CVCA udsteder certifikater til sine certifikatindehavere (abonnenter). I dette dokument kaldes en certifikatindehaver for "Document Verifier" (DV). En DV er en organisatorisk enhed, der forvalter kontrolsystemer, der hører sammen. Document Verifier Certification Authority. Hvert land BØR kun have ét certificeringscenter på DV-niveau. Det er måske ikke muligt for nogle medlemsstater som følge af den måde, hvorpå ansvaret for grænse- og indvandringskontrollen er tilrettelagt i disse lande. I så tilfælde BØR DV'erne koordinere registreringen for derved at minimere forvaltningsomkostningerne. En DV driver et certificeringscenter, der udsteder certifikater til dens kontrolsystemer. De kontrolsystemcertifikater, der udstedes af en DV, får normalt både samme adgangsrettigheder og gyldighedsperiode, som det bagvedliggende DV-certifikat. DV'en KAN imidlertid vælge at begrænse adgangsrettighederne eller gyldighedsperioden yderligere Registreringsenheder Country Verifying Registration Authority. For hvert nationalt CVCA er der kun én registreringsenhed, nemlig den tilsvarende Country Verifying Registration Authority (CVRA). Normalt drives denne af samme center som CVCA. Det nationale CVRA har ansvaret for identificering og autentificering af ansøgninger om certificering fra DV'er. Ansøgninger om certificering af abonnentcertifikater kan kun komme fra DV'er. Derudover indleder CVRA udstedelse af certifikater til DV'ere, og det validerer proceduren for spærring og fornyelse af certifikater, der er udstedt af det tilsvarende CVCA. I resten af dette dokument vil CVRA blive anset for at udgøre en del af CVCA'et, og kun begrebet CVCA vil blive anvendt. Medlemsstaterne KAN opdele/kombinere rollerne som CVCA og CVRA, hvis de ønsker. Document Verifier Registration Authority. Hver medlemsstat MÅ kun have én registreringsenhed for hver DV. DV'er har ansvaret for identificering og autentificering af ansøgninger om certificering fra kontrolsystemerne. Derudover indleder en DV udstedelsen af certifikater til kontrolsystemer og validerer proceduren for spærring og fornyelse af certifikater. I resten af dette dokument vil DVRA blive anset for at udgøre en del af DV, og kun begrebet DV vil blive anvendt. Medlemsstaterne KAN opdele/kombinere rollerne som DV og DVRA, hvis de ønsker Abonnenter Abonnenter inden for rammerne af denne certifikatpolitik er DV'er og kontrolsystemer. Begrebet DV er defineret i afsnit DA 7 DA

9 Med henblik på denne certifikatpolitik defineres et kontrolsystem som den infrastruktur, hardware og software, der kræves for at opnå certifikater fra en medlemsstats DV, lagring og forvaltning af disse certifikater og opnåelse af fingeraftryksbiometri fra maskinlæsbare rejsedokumenter ved brug af disse certifikater, herunder mekanismer for kontrol af adgangen til kontrolsystemerne Signaturmodtagere Signaturmodtagere inden for en EAC-PKI er DV'er, kontrolsystemer og maskinlæsbare rejsedokumenter. En signaturmodtager er en enhed, der kontrollerer signaturen på et certifikat ved brug af en pålidelig certificeringssti (se afsnit 1.4). En medlemsstat skal tydeligt identificere, hvilken pålidelig certificeringssti en signaturmodtager skal anvende til at verificere et certifikat (se afsnit 1.4) Andre deltagere Hvis en medlemsstat identificerer andre deltagere, skal denne medlemsstat efterkomme bestemmelserne i dette afsnit. Andre deltagere, der identificeres af medlemsstaten, og som spiller en rolle i PKI-infrastrukturen og/eller indvirker herpå, skal overholde sikkerhedskravene i denne certifikatpolitik Certifikatbrug At give kontrolsystemer læseadgang til den fingeraftryksbiometri, der er lagret i maskinlæsbare rejsedokumenter, som anført i certifikaterne, udelukkende med henblik på verifikation af indehaverens identitet ved hjælp af direkte tilgængelige, sammenlignelige features. For en medlemsstats CVCA anvendes nøglepar og certifikater til følgende formål: CVCA's private nøgle skal anvendes til at signere nationale og eksterne DV-certifikater og kan anvendes til at signere DV-certifikatansøgninger til andre autoriserede CVCA'er i medlemsstaterne (se afsnit 3.4). Et CVCA-certifikat skal anvendes til at verificere en national eller anden medlemsstats DV's signatur. DV'ens private nøgle skal anvendes til at signere nationale kontrolsystemcertifikater. Et DV-certifikat skal anvendes til at verificere signaturen på et nationalt eller eksternt kontrolsystemcertifikat. Disse certifikater giver kontrolsystemer læseadgang til den fingeraftryksbiometri, der er lagret i maskinlæsbare rejsedokumenter, som anført i certifikaterne, udelukkende med henblik på kontrol af indehaverens identitet ved hjælp af direkte tilgængelige, sammenlignelige features. For at gøre det er det nødvendigt med en tydelig identificering af, hvilken pålidelig certificeringssti der skal anvendes. En pålidelig certificeringssti, der forvaltes af et CVCA, består af følgende certifikater: DA 8 DA

10 CVCA-certifikat: selvsigneret certifikat Om nødvendigt et foreløbigt link-cvca-certifikat DV-certifikat: DV-certifikater er signeret af mindst det nationale CVCA Kontrolsystemcertifikat: kontrolsystemcertifikater er signeret af DV'en. For signaturmodtager er en pålidelig certificeringssti til: DV: nationalt CVCA-certifikat og CVCA-certifikat fra den autoriserede medlemsstat Kontrolsystem: nationalt DV-certifikat, nationalt CVCA-certifikat og CVCA-certifikat for den autoriserede medlemsstat. MRTD: en autoriseret medlemsstats kontrolsystemcertifikat, en autoriseret medlemsstats DV-certifikat og nationalt CVCA-certifikat og muligvis nationalt link-cvca-certifikat og tilsvarende CVCA-certifikat. Anmærkning: national henviser til den medlemsstat, som CVCA'et, DV'en og kontrolsystemet henhører under, eller som udsteder MRTD. Med autoriseret medlemsstat menes en medlemsstat, der er autoriseret til at indsamle data fra en statsborgers MRTD ved brug af en DV (og et kontrolsystem), der er signeret af borgerens nationale CVCA Forvaltning af politikken Europa-Kommissionen Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed Direktorat B, kontor B Bruxelles Belgien 1.6. Terminologi, definitioner og akronymer Nøgleordene "SKAL", "SKAL IKKE", "KRÆVES", "MÅ", "MÅ IKKE", "BØR", "BØR IKKE" og "KAN" i dette dokument skal tolkes som beskrevet i [RFC2119]. En "medlemsstat" defineres som en stat, der deltager i forordning (EF) nr. 2252/2004. "Indenlandsk" defineres som værende i samme medlemsstat. "Udenlandsk" defineres som værende i en anden medlemsstat. En "gyldig nøgle" defineres som en nøgle, i forbindelse med hvilken det nuværende tidspunkt ligger inden for gyldighedsperioden for det tilsvarende abonnentcertifikat, og det tilsvarende abonnentcertifikat ikke er blevet spærret. Tillæg A.1.2 indeholder andre definitioner og akronymer, der anvendes i forbindelse med denne certifikatpolitik. DA 9 DA

11 2. ANSVAR FOR OFFENTLIGGØRELSE OG OPBEVARING Europa-Kommissionen har ansvaret for at opretholde en liste med nærmere kontaktoplysninger for CVCA'er og DV'er på europæisk plan. Listens indhold og integritet ajourføres ad diplomatisk vej. De tilsvarende oplysninger findes på webstedet for Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed i Europa-Kommissionen. 3. IDENTIFICERING OG AUTENTIFICERING 3.1. Benævnelse Som defineret i TR-EAC A.4.1. anvendes certificeringscenterreferencen til at identificere den offentlige nøgle, der skal anvendes til at verificere certificeringscentrets signatur (CVCA eller DV). Certificeringscenterreferencen SKAL svare til certifikatindehaverreferencen i det tilsvarende certifikat fra certificeringscentret (CVCA-link-certifikat eller DV-certifikat). Certifikatindehaverreferencen SKAL identificere certifikatindehaverens offentlige nøgle. Den SKAL være en unik identifikator for det udstedende certificeringscenter. Den SKAL bestå af følgende sammenkædede elementer: 1) ISO ALPHA-2-landekoden for certifikatindehaverens land. 2) En mnemoteknisk kode, der repræsenterer certifikatindehaveren. 3) Et numerisk eller alfanumerisk sekvensnummer. BEMÆRK: Der er ingen garanti for, at certifikatindehaverreferencen er en unik identifikator generelt. Medlemsstaterne definerer identiteten som følger: CVCA-certifikat: DV-certifikat: certificeringscenterreference: national CVCA-identitet certifikatindehaverreference: national CVCA-identitet certificeringscenterreference: national CVCA-identitet eller en anden autoriseret medlemsstats CVCA-identitet (se afsnit 3.3) certifikatindehaverreference: national DV-identitet kontrolsystemcertifikat: certificeringscenterreference: national DV-identitet certifikatindehaverreference: national kontrolsystemidentitet DA 10 DA

12 3.2. Validering af den oprindelige identitet Nationalt CVCA Hver medlemsstat SKAL tydeligt identificere, hvem der er ansvarlig for autentificeringen og definitionen af CVCA-identiteten Kommunikation mellem CVCA og CVCA For at validere ansøgninger fra DV'er skal et CVCA kunne bekræfte DV'ens identitet hos den pågældende medlemsstats CVCA. Forud for DV's fremlæggelse af en certifikatansøgning SKAL de deltagende staters CVCA'er derfor validere hinandens identitet. CVCA-identifikationsvalideringen SKAL gennemføres under Europa-Kommissionens overvågning. CVCA'er SKAL fremlægge følgende oplysninger for Europa-Kommissionen til fordeling blandt andre deltagende CVCA'er: a) den nationale certifikatpolitik b) den offentlige del af CVCA'ets certificeringspraksis, hvis en sådan findes c) en kopi af CVCA'ets offentlige nøgle Hvis noget af ovenstående ændres, SKAL CVCA'er give Europa-Kommissionen en ajourført version til omdeling blandt andre deltagende CVCA'er Kommunikation mellem DV og CVCA Når en DV fra én medlemsstat først indgiver registreringsoplysninger til et CVCA i en anden medlemsstat, SKAL det ske via en pålidelig kanal, som de to parter er enedes om. DV'en SKAL omfatte følgende registreringsoplysninger: a) Den offentlige del af DV'ens certifikatpraksis. b) Det seneste certifikat, der viser, at den er i overensstemmelse med den nationale certifikatpolitik for DV'en. c) En liste over de organisationer, der bruger det af DV'en certificerede kontrolsystem. d) En certifikatansøgning som specificeret i TR-EAC, afsnit A.4.2. Certifikatansøgningen SKAL indeholde en ydre underskrift som defineret i TR-EAC, afsnit A.4.2.4, signeret af de DV'er, der overvåger CVCA. I tilfælde af en væsentlig ændring af noget af ovenstående SKAL DV'en give nærmere oplysninger om ændringen til CVCA'et, således at den kan foretage en vurdering af, hvorvidt der kræves en ny validering af den oprindelige identitet. DA 11 DA

13 Kommunikation mellem kontrolsystem og DV DV'er SKAL have en hensigtsmæssig mekanisme til at identificere et autentificeret kontrolsystem. Når det oprindelige nøglemateriale er genereret og certifikatansøgningen samlet, skal der være personale, der er autoriseret af DV'en, fysisk til stede Identificering og autentificering af ansøgninger om nøglefornyelse Som specificeret i TR-EAC, afsnit A Kommunikation mellem DV og CVCA CVCA SKAL sikre gyldigheden af ansøgningen ved at bekræfte: a) at ansøgningen er formateret i overensstemmelse med TR-EAC, afsnit A.4.2. b) at CVCA'et for DV'ens medlemsstat forsat har opført DV'en som gyldig c) at DV'ens overensstemmelsescertifikat er gyldigt d) at den ydre signatur på ansøgningen er skabt med en nøgle, der er gyldig, hvad angår den pågældende DV's certifikat, der er udstedt af CVCA'et Kommunikation mellem kontrolsystem og DV DV'en SKAL kun udstede et certifikat, når det er bekræftet: a) at kontrolsystemet fortsat er registreret som operationelt. b) at kontrolsystemet ikke er opført som stjålet/forsvundet. 4. OPERATIONELLE KRAV TIL CERTIFIKATERS LEVETID 4.1. Certifikatansøgning CVCA Hver medlemsstat skal fastsætte, hvilken enhed der er ansvarlig for at autorisere oprettelsen af et CVCA Kommunikation mellem DV og CVCA Efter en vellykket validering af den oprindelige identitet, jf ovenfor, SKAL ansøgningen om et DV-certifikat ske i overensstemmelse med TR-EAC A.4.2 (Certificate Requests) og TR-EAC (Document Verifiers) Kommunikation mellem kontrolsystem og DV Kontrolsystemerne KAN indgive certifikatansøgninger efter en vellykket gennemførelse af den indledende identitetsvalidering i medfør af ovenfor. DA 12 DA

14 4.2. Behandling af en certifikatansøgning Certifikater udstedt af CVCA til CVCA Et CVCA MÅ under nøgleimport kun udstede et selvsigneret CVCA-certifikat eller et linkcertifikat til et tidligere CVCA-certifikat, der er i overensstemmelse med dets egen nationale certifikatpolitik. CVCA'er SKAL kontrollere, at certifikatansøgningen er autoriseret og gyldig (se afsnit 4.1.1) Certifikater udstedt af CVCA til DV Et CVCA MÅ kun udstede et certifikat til en DV, der overholder sine egne (DV'ens) nationale certifikatpolitik, dvs. som mindst er i overensstemmelse med denne certifikatpolitik, og brugen (statslig eller ikke-statslig) af fingeraftryksbiometri i rejsedokumentet skal være i overensstemmelse med afsnit 1.4 i dette dokument. CVCA'er SKAL kontrollere, at certifikatansøgningen er gyldig. CVCA'er SKAL bekræfte modtagelsen af en certifikatansøgning. CVCA SKAL behandle certifikatansøgningen inden for 72 timer som fastsat i punkt i Kommissionens beslutning K(2006) 2909 af Hvis et CVCA-system bliver ikke-operationelt i længere tid end denne tidsramme, SKAL det informere alle abonnerende DV'er herom senest 7 dage, inden det ophører med at fungere, hvis det er planlagt, og snarest muligt, hvis det ikke er planlagt Certifikater udstedt af DV til kontrolsystemet En DV MÅ kun udstede et certifikat til et kontrolsystem, der overholder sin egen nationale certifikatpolitik, og som anvender certifikaterne i overensstemmelse med del 1.4 i dette dokument. DV'er SKAL kontrollere, at en certifikatansøgning er gyldig, inden der udstedes et certifikat Certifikatudstedelse Certifikater udstedt af CV'er CVCA'er SKAL træffe foranstaltninger mod forfalskning af certifikater og sikre, at certifikatudstedelsesprocedurerne er sikkert forbundet med den tilknyttede registrering, certifikatfornyelse eller nøglefornyelse, herunder stille en subjektgenereret offentlig nøgle til rådighed. Certifikater SKAL genereres og udstedes i overensstemmelse med TR-EAC A.4 (CV Certificates) Certifikater udstedt af DV'er DV'er SKAL sikre, at de udsteder certifikater sikkert for derved at opretholde deres autenticitet. DA 13 DA

15 DV'er SKAL træffe foranstaltninger mod forfalskning af certifikater og sikre, at certifikatudstedelsesprocedurerne er sikkert forbundet med den tilknyttede registrering, certifikatfornyelse eller nøglefornyelse, herunder stille en subjektgenereret offentlig nøgle til rådighed. Certifikater SKAL genereres og udstedes i overensstemmelse med TR-EAC A.4 (CV Certificates) Certifikatgodkendelse Et selvsigneret CVCA-certifikat SKAL accepteres af den enhed, der er ansvarlig for CVCA'et efter oprettelsen heraf ved afslutningen af nøgleimporten. En DV eller et kontrolsystem SKAL anses for at have accepteret et certifikat ved modtagelsen heraf Regler for nøglereparation og certifikatsikkerhed CVCA'er, DV'er og kontrolsystemer SKAL opfylde følgende krav: Det skal sikres, at CVCA/DV modtager præcise og fuldstændige oplysninger i overensstemmelse med kravene i denne politik, navnlig med hensyn til registrering. Nøgleparret anvendes kun i overensstemmelse med begrænsningerne i denne certifikatpolitik. Det skal sikres, at der ikke forekommer uautoriseret brug af den private nøgle. Nøgler genereres i overensstemmelse med TR-EAC. Der må kun anvendes private nøgler til at signere eller dekryptere med et sikkert krypteringsredskab som beskrevet i afsnit 6.2. Der skal snarest muligt gives besked til et CVCA/en DV, hvis følgende sker ved udløbet af den gyldighedsperiode, der er anført på certifikatet: en privat nøgle er tabt, stjålet eller muligvis kompromitteret; eller kontrollen over den private nøgle er gået tabt som følge af kompromittering af aktiveringsdata (f.eks. pinkoden) eller af andre årsager; og/eller unøjagtigheder i eller ændringer af certifikatets indhold som meddelt til abonnenten eller den berørte. Efter kompromittering bringes brugen af en privat nøgle straks og permanent til ophør. Hvis det meddeles, at et CVCA's eller en DV's private nøgle er blevet kompromitteret, BØR man IKKE stole på certifikater, der er signeret med disse private nøgler, og der BØR træffes hensigtsmæssige foranstaltninger. Certifikatudstederen (CVCA eller DV) SKAL anføre oplysninger om nøglereparation og certifikatbrug i certifikatindehaverenautorisationsfeltet. DA 14 DA

16 DV'er og kontrolsystemer MÅ kun anvende den private nøgle, der svarer til det DV- og kontrolsystemcertifikat, der er modtaget, og kun til følgende formål: det i afsnit 1.4 i denne certifikatpolitik beskrevne formål ("Certifikatbrug") i overensstemmelse med indholdet af de udstedte certifikater Certifikatfornyelse Ikke tilladt Fornyelse af certifikatnøgle Der KAN kun finde fornyelse af nøglecertifikater sted, hvis: a) DV- eller kontrolsystemcertifikatet er ved at udløbe b) et DV-certifikat er blevet spærret c) en kontrolsystemnøgle er blevet kompromitteret d) hvis der kræves ændring af et DV-/kontrolsystemcertifikat som følge af ændring af DV-/kontrolsystemattributerne. CVCA/DV SKAL sikre, at ansøgninger om certifikater, der er udstedt til en/et tidligere registreret DV/kontrolsystem, er fuldstændige, præcise og behørigt autoriserede. CVCA'et/DV'en: a) SKAL kontrollere, om det certifikat, hvis nøgle skal fornyes, eksisterer og er gyldigt, og at de oplysninger, der blev anvendt til at verificere DV'ens/kontrolsystemets identitet og attributter, stadig er gyldige b) MÅ kun udstede et nyt certifikat baseret på verifikationen af den berørtes signatur på ansøgningen, hvis den pågældende signaturnøgles kryptografiske sikkerhed stadig er tilstrækkelig til det nye certifikats gyldighedsperiode, og der ikke er tegn på, at den nøgle, der er anvendt til at generere den berørtes signatur på ansøgningen, er kompromitteret. Certifikater SKAL udstedes i overensstemmelse med afsnit 4.3 ovenfor om certifikatudstedelse. Hvis et DV-certifikat er ved at udløbe (se 4.7, a) ovenfor), SKAL bestemmelserne i TR-EAC A.4.2 (Certificate Requests) følges. Hvis et DV-certifikat spærres, udløber eller kræver ændringer (se 4.7, b), c), d) ovenfor) er nøglefornyelsesproceduren den samme som den, der finder anvendelse, når en DV ansøger om et DV-certifikat for første gang. Hvis et kontrolsystems private nøgle kompromitteres eller udløber, er nøglefornyelsesproceduren den samme som den, der finder anvendelse, når et kontrolsystem ansøger om et kontrolsystemcertifikat for første gang. DA 15 DA

17 4.8. Certifikatændring Dette punkt er omfattet af afsnit 4.7 "Fornyelse af certifikatnøgle" Spærring og ophævelse af et certifikat Se afsnit 5.7 "Genskabelse efter kompromittering eller katastrofe" Certifikatstatustjenester Se afsnit 5.7 "Genskabelse efter kompromittering eller katastrofe" Abonnementsophør Nøgledeponering og -genskabelse MÅ IKKE anvendes. 5. FORVALTNINGS- OG DRIFTSKONTROL SAMT FYSISK KONTROL 5.1. Fysisk kontrol Hvert CVCA og hver DV SKAL sikre, at driften af deres tjenester sker i et sikkert miljø. Det SKAL omfatte: a) Placering og opbygning: CVCA/DV skal fungere i et fysisk beskyttet område. b) Fysisk adgang: adgangen til CVCA/DV skal kontrolleres og overvåges. Kun autoriserede personer har fysisk adgang til CVCA-/DV-miljøet. c) Medielagring: Lagringsmedierne er beskyttet mod personers uautoriserede eller utilsigtede brug, adgang, offentliggørelse eller beskadigelse og mod andre trusler (f.eks. brand, vand). d) Bortskaffelse af affald: Der anvendes procedurer for bortskaffelse af affald for at forhindre uautoriseret brug, adgang eller offentliggørelse af følsomme data. e) Ekstern datasikring: Der KAN installeres en ekstern databackupfacilitet Proceduremæssig kontrol og forvaltning af systemadgangen Der SKAL gennemføres proceduremæssig kontrol, navnlig skal princippet om, at der skal to medarbejdere til at udføre kritiske opgaver, efterleves. Hvert CVCA, hver DV og hvert kontrolsystem SKAL sikre, at systemadgangen til en hvilken som helst del af EAC-PKI er begrænset til behørigt autoriserede personer, når det er nødvendigt ("need to know basis"). Navnlig følgende krav finder anvendelse: DA 16 DA

18 a) Der SKAL anvendes kontrolforanstaltninger (f.eks. firewalls) for at beskytte de interne CV-netværksdomæner fra eksterne netværksdomæner, som tredjemand har adgang til. b) Følsomme data SKAL beskyttes mod uautoriseret adgang eller ændring. c) Følsomme data SKAL beskyttes (f.eks. ved hjælp af kryptering og en integritetsmekanisme), når de udveksles via netværk, der ikke er sikre. d) Hvert CVCA, hver DV og hvert kontrolsystem SKAL sikre en effektiv forvaltning af brugernes (dette omfatter operatører, administratorer og alle brugere, der har direkte adgang til systemet) adgang for at opretholde systemsikkerheden, herunder forvaltning af brugerkonti, overvågning og rettidig ændring eller ophævelse af adgangen. e) CVCA'et, DV'en og kontrolsystemet SKAL sikre, at adgangen til informationsog applikationssystemfunktionerne, er begrænset til autoriseret personale, og at EAC-PKI-systemerne yder tilstrækkelig computersikkerhedskontrol til at adskille betroede funktioner, herunder adskillelse af sikkerhedsadministratorfunktionen og driftsfunktionen. Navnlig brugen af system utility-programmer er begrænset og strengt kontrolleret. Adgangen SKAL begrænses og kun tillade adgang til ressourcer, der er nødvendige for at udføre de(n) rolle(r), brugeren har. f) CVCA-, DV- og kontrolsystempersonale SKAL entydigt identificeres og autentificeres, inden de anvender EAC-PKI-applikationer i forbindelse med certifikatforvaltning eller adgang til MRTD. g) CVCA-, DV- og kontrolsystempersonale SKAL stå til ansvar for deres aktiviteter, f.eks. ved hjælp af resultatlogs som defineret i afsnit 5.4. h) Følsomme data SKAL beskyttes mod offentliggørelse via genbrugte databærere (f.eks. slettede filer), som uautoriserede brugere har adgang til Kontrol af personalet Alle EAC-PKI-systemer, dvs. CVCA-, DV- og kontrolsystemer, SKAL varetages af kvalificeret og erfarent personale. Navnlig følgende krav finder anvendelse: a) Hvert CVCA, hver DV og hvert kontrolsystem SKAL anvende et tilstrækkeligt antal medarbejdere med den ekspertviden og de erfaringer og kvalifikationer, der er nødvendige i forbindelse med de tjenester, der tilbydes, og som passer til jobfunktionen. b) Personalet SKAL gennem en indenlandsk sikkerhedsklassifikation, der afhænger af de(n) funktion(r), de udfører. c) Der SKAL anvendes passende disciplinære sanktioner over for personale, der overtræder CVCA-, DV- og kontrolsystempolitikkerne eller procedurerne. d) Sikkerhedsfunktioner og ansvaret herfor, der er specificeret i systemets sikkerhedspolitik, SKAL dokumenteres i jobbeskrivelserne. Betroede DA 17 DA

19 funktioner, der er af afgørende betydning for systemets driftssikkerhed, SKAL tydeligt angives. e) For alt personale (både midlertidigt og permanent) SKAL der udarbejdes jobbeskrivelser, der hviler på princippet om adskillelse af opgaver og mest mulig indskrænkning af adgangsrettigheder. f) De administrative og forvaltningsmæssige procedurer og bestemmelser for personalet SKAL være i overensstemmelse med den proceduremæssige kontrol, der er beskrevet i 5.2 ovenfor. g) Alle CVCA'er, DV'er og kontrolsystemer med betroede funktioner MÅ IKKE befinde sig i interessekonflikter, der kan påvirke systemets objektivitet. h) Personale med adgang til private nøgler inden for EAC-PKI SKAL formelt udnævnes til deres betroede funktioner af den øverste ledelse, der har ansvaret for kontrolsystemets sikkerhed. i) CVCA'er, DV'er og kontrolsystemer MÅ IKKE overgive betroede funktioner til personer, der er tidligere straffet for en grov forbrydelse eller en anden lovovertrædelse, der gør dem uegnet til stillingen. Medarbejdere MÅ IKKE få adgang til betroede funktioner, før den nødvendige kontrol af dem er tilendebragt Auditloggingprocedurer Hvert CVCA, hver DV og hvert kontrolsystem SKAL gennemføre hensigtsmæssige loggingprocedurer for at analysere og genkende korrekt og ukorrekt brug af deres system inden for ECA-PKI. CVCA'er, DV'er og kontrolsystemer SKAL sikre, at alle relevante oplysninger vedrørende et certifikat registreres i et passende tidsrum, således at mindst de krav om overvågning overholdes, som er beskrevet i afsnit 8 "Overensstemmelseskontrol og andre vurderinger". CVCA'er og DV'er SKAL sikre, at: a) Nuværende og arkiverede certifikatregistres fortrolighed og integritet opretholdes. b) Certifikatregistrene er arkiveret fuldstændigt og under opretholdelse af deres fortrolighed. c) Det præcise tidspunkt for væsentlige hændelser vedrørende omgivelser, nøgleforvaltning og certifikatforvaltning er registreret. d) Alle hændelser vedrørende nøglers levetid logges. e) Alle hændelser vedrørende certifikaters levetid logges. f) Alle hændelser vedrørende registrering logges. DA 18 DA

20 g) Alle ansøgninger og rapporter vedrørende spærring og foranstaltninger, der træffes som følge heraf, logges. h) Særlige hændelser og data, der skal logges, er dokumenterede. i) Hændelser logges, således at de ikke let kan slettes eller destrueres (undtagen ved overførsel til varende databærere) inden for det tidsrum, det KRÆVES, at de opbevares. Kontrolsystemer SKAL føre log, herunder: a) Logningen af nøgleforvaltningsdelen i kontrolsystemet SKAL foregå på en sådan måde, at den ansvarlige DV kan opdage misbrug af systemet og kan træffe passende forholdsregler herimod. b) Beskyttelse mod ændring eller sletning af logger. c) Der SKAL føres registre, således at det ved kontrol kan bekræftes, at det er muligt at opdage misbruget Dataarkiveringsprocedurer Hvert CVCA, hver DV og hvert kontrolsystem SKAL anvende egnede dataarkiveringsprocedurer for deres system inden for EAC-PKI. Procedurerne SKAL sikre dataenes integritet, ægthed og fortrolighed. Arkiverne SKAL oprettes på en sådan måde, at de ikke let kan slettes eller destrueres (undtagen ved overførsel til varende databærere) inden for det tidsrum, det kræves, at de opbevares. Adgangen til arkiverne SKAL udelukkende være begrænset til autoriseret personale. Hvis det ikke er muligt at gemme dataene på det oprindelige medie i det krævede tidsrum, vil der via arkiveringsstedet blive indført en mekanisme, der sørger for regelmæssig overførsel af de arkiverede data til nye medier. Kontrolsystemer MÅ IKKE logge eller overføre fingeraftryk indhentet fra MRTD. Sådanne biometriske data SKAL slettes umiddelbart efter, at sammenligningen af fingeraftryk fra indehaveren og fingeraftrykkene i MRTD er afsluttet. Arkiver SKAL gemmes så længe, det er nødvendigt, for ved hjælp heraf at kunne fremlægge de nødvendige retlige beviser i overensstemmelse med medlemsstatens gældende lovgivning Nøgleudskiftning CVCA'er og DV'er SKAL sikre, at nøgler genereres under kontrollerede forhold og i overensstemmelse med procedurerne i afsnit 5.2. "Proceduremæssig kontrol og forvaltning af systemadgangen". CVCA'erne SKAL udstede fuldstændige selvsignerede certifikater plus linkcertifikater. DA 19 DA

21 5.7. Genskabelse efter kompromittering eller katastrofe CVCA'er SKAL træffe rimelige foranstaltninger for at sikre driftskontinuiteten, herunder: a) Foranstaltninger for at minimere virkningerne af elafbrydelser. b) Foranstaltninger for at minimere virkningerne af f.eks. oversvømmelse eller brand. c) Foranstaltninger for at minimere virkningerne af at miste nøglepersonale Procedurer i forbindelse med hændelser og kompromittering Alle CVCA'er, DV'er og kontrolsystemer SKAL i tilfælde af katastrofer, herunder kompromittering af en deltagers private nøgle, sikre, at driften genetableres hurtigst muligt. Der stilles navnlig følgende krav: 1. Hvert CVCA, hver DV og hvert kontrolsystem SKAL fastsætte og opretholde en kontinuitetsplan til brug i tilfælde af katastrofer (se også afsnit 5.7.4). 2. Der SKAL foretages backup af CVCA'ers og DV'ers systemdata, som er nødvendige for genoptagelse af driften, og de SKAL lagres et sikkert sted, således at CVCA'er og DV'er hurtigt kan genoptage driften i tilfælde af hændelser/katastrofer. 3. Backup- og driftsgenoprettelsesfunktionerne hører under de betroede funktioner og varetages som sådan. 4. I driftskontinuitetsplanen (eller katastrofegenoprettelsesplanen) for EAC-PKI SKAL kompromitteringen eller en mistanke om kompromittering af en privat nøgle behandles som en katastrofe, og der SKAL være planlagt procedurer herfor (se også afsnit 5.7.3) Beskadigelse af it-ressourcer, software og/eller data Hvis en privat CVCA-nøgle af ikke-kritiske årsager er blevet ubrugelig, anvendes den i afsnit 5.6 beskrevne procedure Procedurer i tilfælde af kompromittering af en enheds private nøgle En DV SKAL straks informere alle CVCA'er, der har udstedt certifikater til denne DV om kompromittering eller misbrug af DV'ens eller kontrolsystemets private nøgle. Hvis et kontrolsystem forsvinder eller bliver stjålet, SKAL den ansvarlige DV snarest muligt informere alle CVCA'er, der har udstedt certifikater til denne DV, om hændelsen og senest ved næste certifikatansøgning. Hvert land BØR meddele alle andre lande, hvordan de oplysninger, der anmodes om, stilles til rådighed Sikring af driftskontinuiteten efter en katastrofe Hvert CVCA SKAL have en driftskontinuitetsplan med nærmere oplysninger om, hvordan CVCA'et vil opretholde driften i tilfælde af en hændelse, der påvirker den normale drift. DA 20 DA

22 5.8. Indstilling af driften af CVCA'et eller DV'en Hvis et CVCA indstiller driften, SKAL det: Informere alle CVCA'er, hos hvem det er registreret, herom. Informere alle CVCA'er, hos hvem det er registreret, om der eventuelt er et andet CVCA, der overtager ansvaret for nationale DV'er. Informere alle DV'er, til hvem det udsteder certifikater, om, at det indstiller driften. Informere alle DV'er, til hvem det udsteder certifikater, om der eventuelt er et CVCA, der udsteder certifikater i stedet for. Ethvert stedfortrædende CVCA SKAL fortsat udstede certifikater til MRTD, der er udstedt af det oprindelige CVCA. CVCA'et SKAL destruere private nøgler eller forhindre den videre brug af disse nøgler. Hvis en DV indstiller driften, SKAL den informere sit nationale CVCA, der så vil informere alle CVCA'er, der udsteder certifikater til den pågældende DV. 6. TEKNISK SIKKERHEDSKONTROL 6.1. Generering af nøglepar CVCA'er og DV'er SKAL sikre, at CA-nøgler genereres under kontrollerede forhold i overensstemmelse med afsnit 5 "Forvaltnings- og driftskontrol samt fysisk kontrol" Nøglegenereringen SKAL foretages med pålideligt udstyr, der opfylder kravene i tillæg B. Inden en CVCA- eller DV-signeringsnøgle udløber, SKAL CVCA'et eller DV'en generere et nyt certifikatsigneringsnøglepar og SKAL træffe alle nødvendige foranstaltninger for at forhindre afbrydelsen af driften af CVCA'er, DV'er eller kontrolsystemer, der kan være afhængige af nøglen. Den nye nøgle SKAL genereres og fordeles i overensstemmelse med TR-EAC og denne politik. CVCA'er og DV'er SKAL sikre, at deres offentlige nøglers integritet og ægthed samt tilknyttede parametre opretholdes under fordelingen til DV'er og kontrolsystemer Beskyttelse af private nøgler og kontrol af udviklingen af kryptografiske moduler Private signeringsnøgler SKAL opbevares og anvendes i et pålideligt system, der opfylder kravene i tillæg B. CVCA'er SKAL anvende tekniske og proceduremæssige mekanismer, der kræver deltagelse af mange betroede individuelle autorisationer til at gennemføre følsomme CVCAnøgleoperationer (såsom oprettelse, backup, genskabelse, destruering og brug). DA 21 DA

23 DV'er SKAL anvende tekniske og proceduremæssige mekanismer, der kræver deltagelse af mange betroede individuelle autorisationer til at gennemføre følsomme DV-nøgleoperationer (såsom oprettelse, backup, genskabelse og destruering). DV'en skal foretage autorisation af betroede funktioner med sit hardwaresikkerhedsmodul (HSM) for at tillade anvendelsen af DV-nøglen. Kontrolsystemets nøgleoperationer (såsom oprettelse, backup, genskabelse, destruering og brug) SKAL begrænses til autoriseret personale, der er udnævnt til denne funktion. Uden for det signaturskabende udstyr SKAL private signeringsnøgler beskyttes på en sådan måde, at det sikrer samme beskyttelsesniveau, som det signaturskabende udstyr giver. Hvis private nøgler sikres ved hjælp af backup, MÅ de kun lagres og genoprettes af personale med betroede funktioner, der mindst anvender dobbelt kontrol i fysisk sikrede omgivelser. Antallet af medarbejdere, der autoriseres til at varetage denne funktion, SKAL holdes så lavt som muligt. Backupkopier af private signeringsnøgler SKAL være genstand for de samme eller strengere sikkerhedsforanstaltninger som de nøgler, der allerede er i brug. Hvis nøgler lagres i et særligt hardwaremodul for nøgleforvaltning, SKAL der indføres adgangskontrol for at sikre, at der ikke er adgang til nøgler uden for hardwaremodulet. Private signeringsnøgler MÅ IKKE anvendes efter deres levetid, og alle kopier af nøgler SKAL destrueres eller gøres ubrugelige ved afslutningen af deres levetid. Sikkerheden ved kryptografisk udstyr SKAL sikres gennem hele dets levetid. Det skal bl.a. sikres, at der ikke pilles ved den kryptografiske hardware til signering af certifikater eller spærringer under transport eller lagring, at det fungerer korrekt under driften, og at eventuelle private nøgler, der er lagret i udstyret, destrueres, når udstyret skrottes Andre aspekter af forvaltningen af nøglepar Driftsperioderne som specificeret i punkt i Kommissionens beslutning K(2006) 2909 af : Enhed Korteste gyldighedsperiode Længste gyldighedsperiode CVCA-certifikat 6 måneder 3 år DV-certifikat 2 uger 3 måneder Kontrolsystemcertifikat 1 døgn 1 måned 6.4. Aktiveringsdata Kravene til aktiveringsdata BØR fastsættes af DV'en selv på grundlag af en risikoanalyse. DV'en KAN ophæve spærringen af aktiveringsdata, men aktiveringsdataenes sikkerhedsniveau SKAL opretholdes. DA 22 DA

24 6.5. Computersikkerhedskontrol CVCA'er, DV'er og kontrolsystemer SKAL overholde de procedurer for computersikkerhedskontrol, der er beskrevet i afsnit 5 "Forvaltnings- og driftskontrol samt fysisk kontrol". Komponenterne i CVCA'er/DV'er/kontrolsystemer KAN omfatte følgende funktioner: Krav om anvendelse af autenticerede logins for betroede funktioner Diskretionær adgangskontrol Sikkerhedsaudit (integritetsbeskyttelse) Forbud mod genanvendelse Krav om brug af kryptografi til kommunikations- og databasesikkerhed Krav om en pålidelig sti til identifikation og autentifikation Sikring af processens domæneisolation Selvbeskyttelse af driftssystemet Sikkerhedskontrol i levetiden Det sikrede udstyr, som CVCA'er, DV'er og kontrolsystemer anvender, SKAL beskyttes mod ændringer. Der SKAL foretages en analyse af sikkerhedskravene ved planlægningen og fastsættelsen af kravene til et hvilket som helst systemudviklingsprojekt, som CVCA'et, DV'en eller kontrolsystemet iværksætter, og som påvirker sikrede systemer eller produkter, for derved at sikre, at sikkerheden er indbygget i it-systemer. Der SKAL være ændringskontrolprocedurer, og de skal være dokumenteret og anvendes ved enhver ajourføring, ændring og nødsoftwarereparation af al driftssoftware i CVCA'er, DV'er og kontrolsystemer Netværkssikkerhedskontrol CVCA'er og DV'er SKAL overholde de procedurer for netværkssikkerhedskontrol, der er beskrevet i afsnit 5 "Forvaltnings- og driftskontrol samt fysisk kontrol" Tidsstempling 7. CERTIFIKAT- OG CRL-PROFILER 7.1. Certifikatprofil CV-certifikater som specificeret i TR-EAC A 4.1 (CV Certificates). DA 23 DA

25 7.2. CRL-profil 7.3. OCSP-profil 8. OVERENSSTEMMELSESKONTROL OG ANDRE VURDERINGER En DV kan kun hævde, at denne certifikatpolitik overholdes, hvis DV'en kan vise, at den overholder den nationale certifikatpolitik, der opfylder standarderne i dette dokument. Andre CVCA'er skal vurdere, om den nationale certifikatpolitik er i overensstemmelse med denne certifikatpolitik, inden de udsteder certifikater til DV'er, der fungerer ingen for rammerne af denne politik. I tilfælde af tvister SKAL der under Europa-Kommissionens overvågning foretages en mægling. DV'er SKAL vælge en uafhængig akkrediteret virksomhed/organisation ("auditorgan") til at foretage audit af DV'en på grundlag af deres nationale certifikatpolitik og deres certifikatpraksis. Auditorganet SKAL være akkrediteret med henblik herpå af dets nationale akkrediteringsorgan. Ved auditten SKAL det ikke kun kontrolleres, at den proceduremæssige sikkerhedskontrol er specificeret, men også at den følges i praksis. Det omfatter også driften og forvaltningen af det kontrolsystem, DV'en abonnerer på. Der SKAL gennemføres auditter mindst hvert tredje år. Auditorganet SKAL mindst én gang om året lade et team af en eller flere auditorer foretage en gennemgang for at sikre, at denne certifikatpolitik løbende overholdes. Beviser for, at certifikatpolitikken overholdes, anerkendes kun, hvis DV'en kan fremvise et "overensstemmelsesbevis" udstedt af auditorganet, hvori det fastslås, at DV'en overholder denne certifikatpolitik ved at overholde sin nationale certifikatpolitik. Hvis en audit viser, at en DV ikke overholder sin nationale certifikatpolitik, SKAL DV'en informere alle CVCA'er, hvorfra den får certifikater. Hvis det ikke er certificeret, at en DV overholder sin nationale certifikatpolitik, eller dens certificering bliver ugyldig eller udløber, MÅ andre medlemsstater ikke udstede flere DVcertifikater til den pågældende DV. Det henstilles, at en DV indfører et system til forvaltning af informationssikkerheden (ISMS) for sin certificerings- og registreringsfunktion i overensstemmelse med ISO/IEC Dette system er baseret på en ISMS-politik, der er defineret i den nationale certifikatpolitik og den tilknyttede erklæring om certifikatpraksis. DA 24 DA

26 9. ANDRE ERHVERVSMÆSSIGE OG RETLIGE ANLIGGENDER 9.1. Gebyrer 9.2. Økonomisk ansvar 9.3. Hemmeligholdelse af erhvervsoplysninger 9.4. Hemmeligholdelse af personoplysninger Kontrolsystemer må ikke logge eller overføre fingeraftryk indhentet fra MRTD. Sådanne biometriske data SKAL slettes umiddelbart efter, at sammenligningen af de fingeraftryk, kontrolsystemet har optaget fra indehaveren, og de fingeraftryk, der kan læses i MRTD, er afsluttet Intellektuel ejendomsret 9.6. Repræsentation og garantier 9.7. Ansvarsfraskrivelse 9.8. Ansvarsbegrænsning 9.9. Erstatning Betingelser og afslutning Individuelle meddelelser og kommunikation med deltagerne Alle vigtige forvaltningsopgaver SKAL gennemføres via robuste kommunikationskanaler. Alle CVCA'er og DV'er SKAL kunne foretage en sådan kommunikation i det mindste pr. e- mail, selv om der KAN være opnået gensidig enighed om andre online- eller offlinekommunikationskanaler. DA 25 DA

27 Hvis et CVCA's normale kommunikationskanaler afbrydes, SKAL det meddele abonnerende DV'er om alternative kanaler, hvorigennem certifikatansøgninger kan indgives. Det SKAL ske inden for en tidsramme, der mest muligt reducerer risikoen for, at gældende certifikater udløber. -beskeder SKAL overholde følgende format, og eventuelle bilag SKAL være i MIMEformat Register Emne: Tekst Bilag Register URL, der skal bruges til at kontakte denne stat ingen CVCA-certifikat Emne: Tekst Bilag CVCA-certifikat Uspecificeret CVCA-linkcertifikat(er) Ansøgning om DV-certifikat Emne: Tekst Bilag Ansøgning om DV-certifikat Uspecificeret Certifikatansøgning(er) Bekræftelse af modtagelsen af DV-certifikation Emne: Tekst Bilag Bekræftelse af modtagelsen af DV-certifikatansøgningen Uspecificeret Certifikatansøgning(er) DV-certifikat Emne: Tekst Bilag [Besvarelse af] ansøgning om DV-certifikat Hvis der ikke er udstedt et DV-certifikat, angives årsagen hertil. DV-certifikat (hvis der mindst er udstedt ét) Suspendering af CVCA's tjenester Emne: Tekst Bilag {Lande} CVCA-suspendering Nærmere oplysninger om start- og slutdatoen for suspendering af CVCA's tjenester Uspecificeret DA 26 DA