PBS CA Certifikat Center. Certification Practice Statement (CPS) for. Country Signing CA. Version 1.0. 17. juli 2006

PBS CA Certifikat Center Certification Practice Statement (CPS) for Country Signing CA Version 1.0 17. juli 2006 17.07.2006 Side 1 af 22

1. Oversigt og formål... 4 1.1. Version...4 1.2. Ændringshåndtering...4 1.3. Kontakt...4 1.3.1. Generelle forespørgsler til PBS CSCA...4 2. Referencer... 5 3. Definitioner og forkortelser... 6 4. Generelt om PBS CSCA services... 8 4.1. PBS CSCA services...8 5. Operationelle procedurer hos PBS... 9 5.1. PBS CSCA s administrative og ledelsesmæssige procedurer...9 5.2. Certifikatanmodning...9 5.3. Certifikatudstedelse... 10 5.4. Certifikatspærring af Document Signer Certificate... 10 5.4.1. Spærring af certifikater og spærringsårsager... 10 5.4.2. Procedure for spærring... 10 5.4.3. Opdatering af spærrelisten... 11 5.5. Logning... 11 5.5.1. Logning af handlinger... 11 5.5.2. Gennemgang af logfiler... 11 5.5.3. Opbevaring og kopiering af logfiler... 12 5.5.4. Beskyttelse af logfiler... 12 5.6. Arkivering... 12 5.6.1. Relevante oplysninger, der registreres og arkiveres... 12 5.6.2. Opbevaring af arkiv... 12 5.6.3. Beskyttelse af arkivmateriale... 12 5.7. Fornyelse af certifikater... 12 5.8. Kompromittering og katastrofesituationer... 12 5.9. Lukning af PBS CA... 13 6. Fysiske, procedure- og personalemæssige sikkerhedsforanstaltninger og kontroller... 14 6.1. Implementering af fysiske sikkerhedsforanstaltninger... 14 6.1.1. CA driftscentrets placering og konstruktion... 14 6.1.2. Fysisk adgang... 14 6.1.3. Strøm, køling og brand... 15 6.2. Proceduremæssige kontroller... 15 6.2.1. Funktionsadskillelse... 15 6.3. Personalemæssige sikkerhedskontroller... 16 6.3.1. Baggrund, kvalifikationer og erfaring... 16 7. Nøgleadministration... 18 7.1. Nøgleparfremstilling og installation... 18 7.1.1. Nøgleparfremstilling/-beskyttelse PBS CSCA... 18 7.1.2. Nøgleparfremstilling/-beskyttelse CA operatører CAA, SA og ISSO... 18 7.1.3. Nøglelængder... 18 7.1.4. Backup af CSCA Private Key... 18 7.1.5. Sletning af private nøgler... 19 7.2. Arkivering af CSCA certifikater... 19 7.3. Anvendelsesperiode for CSCA Private Key... 19 7.4. Sikkerhedskontroller i PBS CA systemet... 19 7.4.1. Specifikke tekniske krav til systemsikkerhed... 19 7.5. Tekniske kontroller (livscyklus)... 20 7.5.1. Systemudviklingskontroller... 20 17.07.2006 Side 2 af 22

7.6. Netværkssikkerhedskontroller... 20 7.7. Softwaresikkerhedskontrol... 20 7.8. Systemer og produkter... 20 8. Systemrevision... 22 8.1. Definition af systemrevision... 22 8.2. PBS systemrevisor... 22 17.07.2006 Side 3 af 22

1. Oversigt og formål Dette dokument indeholder et Certification Practice Statement (CPS) for PBS CSCA. PBS CSCA (Country Signing Certification Authority) driftafvikles hos PBS A/S, CVR-nr. 20016175. PBS CSCA benyttes til at udstede certifikater, der medvirker til at sikre biometriske pas. CSCA CPS er en specifikation af de fysiske, tekniske og organisatoriske/proceduremæssige sikkerhedsforanstaltninger, som PBS har implementeret i forbindelse med udstedelse og administration af CSCA certifikater. CPS er tillige en del af aftalegrundlaget mellem PBS og Rigspolitiet i forbindelse med drift af CSCA. 1.1. Version Denne CPS er version nummer 1.0, som er gældende fra 1. juni 2006. 1.2. Ændringshåndtering PBS CSCA er ansvarlig for vedligeholdelse af CPS. Ændringer til CPS skal godkendes af Rigspolitiet. Såfremt Rigspolitiet ønsker ændringer til PBS CSCA, bør dette meddeles skriftligt. 1.3. Kontakt 1.3.1. Generelle forespørgsler til PBS CSCA Pr. e-mail: Adresse: certifikatinfo@pbs.dk PBS, PBS CA, Lautrupbjerg 10, 2750 Ballerup 17.07.2006 Side 4 af 22

2. Referencer a. FIPS 140 2 level 3 Security Requirements for Cryptographic modules. b. CWA 14167-1: 2003 Security Requirements for Trustworthy Systems Managing Certificates for Electronic Signatures. c. PKI for Machine Readable Travel Documents offering ICC Read-Only Access version 1.1 Date October 01, 2004. d. Forretningsgang CSCA nøgle- og certifikatudveksling version 1.0, 6. juli 2006. e. Forretningsgang CSCA spærring af Document Signer Certificate version 1.0, 6 juli 2006. 17.07.2006 Side 5 af 22

3. Definitioner og forkortelser Hvor andet ikke fremgår af den konkrete sammenhæng, skal nedenstående forkortelser og betegnelser i denne CPS forstås som her beskrevet: Navn Forkortelse Kommentar Country Signing CA CSCA CSCA CPS Certification Practice Statement: Den detailspecifikation der dokumenterer de procedurer, som PBS benytter ved udstedelse og administration af CSCA certifikater. Country Signing CA Certificate C CSCA Udstedt af CSCA (selfsigned). Indeholder den offentlige nøgle for CSCA (KPu CSCA) Country Signing CA private Key KPr CSCA Anvendes til at signere Document Signer Certificate C DS Country Signing CA public Key KPu CSCA Anvendes til at verificere autenticiteten af Document Signer Certificate C DS Document Signer DS Document Signer Certificate C DS Udstedes af Country Signing CA (CSCA). Indeholder Document Signer Public Key (Kpu DS) Document Signer Private Key KPr DS Anvendes til at signere Document Security Object (SO D). Document Signer Public KPu DS Anvendes til at verificere 17.07.2006 Side 6 af 22

Key autenticiteten af Document Security Object (SO D). Document Security Object SO D En RFC 3369 CMS signeret datastruktur. Spærreliste En af PBS udstedt elektronisk liste over spærrede Document Signer certifikater. 17.07.2006 Side 7 af 22

4. Generelt om PBS CSCA services 4.1. PBS CSCA services PBS CSCA omfatter følgende services: CSCA-Danmark er den øverste instans i certifikathierarkiet. Uden for Danmark vil der findes tilsvarende CSCA er for andre lande. Disse CSCA er er alle ligestillet. CSCA opgaver vil bestå af følgende overordnede aktiviteter: - Fremstilling CSCA certifikater for certificering af Document Signer Public key. - Modtagelse af Document Signer Public Key (normalt 4 stk. en gang årligt). - Fremstilling af Document Signer Certificate. - Udlevering af Document Signer Certificate på CD-ROM/USB stick. - Modtagelse og opbevaring af CSCA certifikater for backup formål fra andre lande. - Udlevering af CSCA certifikat for Danmark på CD-ROM/USB stick til Rigspolitiet og pasleverandøren. - Udlevering af CRL. 17.07.2006 Side 8 af 22

5. Operationelle procedurer hos PBS Dette afsnit beskriver de kontrolprocedurer, som er etableret hos PBS CSCA i forbindelse med udstedelse af CSCA og Document Signer certifikater, spærring, backup, nøgleskift, kompromittering og PBS CA lukning. 5.1. PBS CSCA s administrative og ledelsesmæssige procedurer PBS CSCA: a. Anvender betryggende administrative og ledelsesmæssige procedurer, som overholder anerkendte standarder samt lovgivning, der måtte blive stillet af systemrevisor efter en gennemgang, af de generelle edb-kontroller i virksomheden, af de edb-baserede brugersystemer, samt af edb-systemer til udveksling af data med andre, b. anvender pålidelige systemer og produkter, som er beskyttede imod uautoriserede ændringer, og som sikrer den tekniske og kryptografiske sikkerhed af de processer, som disse systemer og produkter understøtter, c. træffer foranstaltninger, der skal sikre mod forfalskning af certifikaterne. 5.2. Certifikatanmodning Certifikatanmodningen om Document Signer certifikat fremstilles af pasleverandøren. Pasleverandøren er dermed garant for, at oplysninger om Document signer Public Key er ægte og tilhører Rigspolitiet. Nøgle og certifikatudveksling finder normalt sted 1 gang årligt ved et møde hos PBS jf. forretningsgang specificeret i ref. d. PBS starter processen ved at fremsende en indkaldelse til Rigspolitiet og pasleverandøren. Ekstraordinære certifikatudstedelser skal varsles skriftligt af Rigspolitiet over for PBS minimum 1 uge forinden. Udstedelse foregår ligeledes i henhold til forretningsgang specificeret i ref. d. Såfremt der er sket en kompromittering af Document Signer Private Key, skal Rigspolitiet straks meddele PBS om dette. PBS vil den nærmeste hverdag bidrage til at normalisere situationen ved at medvirke til at få fremstillet nye Document Signer Certificates. 17.07.2006 Side 9 af 22

5.3. Certifikatudstedelse Ved det årlige nøgle- og certifikatudstedelsesmøde vil både Rigspolitiet og pasleverandøren være til stede. PBS indkalder til mødet med anbefalet brev. Pasleverandøren vil medbringe Document Signer certifikatanmodninger for det næste år. Navnene på deltagerne ved nøgle- og certifikatudvekslingsmødet skal meddeles til PBS inden mødet. Mødedeltagerne skal legitimere sig med brug af fotolegitimation. PBS CA har indrettet sine procedurer således, at kun autoriserede personer kan udstede certifikater. 5.4. Certifikatspærring af Document Signer Certificate Certifikater bliver ugyldige ved, at certifikatet optages på en spærreliste. Rigspolitiet har ansvaret for at sikre distribution af spærrelisten til alle parter, der har behov for at kontrollere Document Signer Certificates gyldighed. Spærrelister indeholder oplysning om samtlige ugyldige CSCA og Document Signer certifikater, indtil disses gyldighedsperiode udløber. Efter at have spærret et Document Signer Certificate sørger PBS CSCA for at informere Rigspolitiet om, at spærring har fundet sted. 5.4.1. Spærring af certifikater og spærringsårsager Document Signer certifikater skal spærres i tilfælde af, at oplysningerne i certifikatet ændres som følge af, at de ikke længere er korrekte, eller hvis den tilhørende private nøgle er kompromitteret. Rigspolitiet skal spærre certifikater hvis: a. Der er mistanke om, at den private nøgle er kompromitteret, b. Adgangskoden til den private nøgle er tabt eller stjålet. 5.4.2. Procedure for spærring Rigspolitiet skal spærre Document Signer Certificate straks efter at have konstateret en spærreårsag, f.eks. kompromittering af Document Signer Private Key, jf. 5.4.1. Spærring kan ske ved, at Rigspolitiet anmoder PBS CSCA om, at certifikatet skal spær- 17.07.2006 Side 10 af 22

res jf. ref. e). PBS CSCA skal søge uafhængig bekræftelse af spærringsanmodning ved en kontrolopringning til Rigspolitiet. PBS CSCA arkiverer alle modtagne spærringsanmodninger, årsagen til spærringen samt PBS CSCAs efterfølgende handlinger. 5.4.3. Opdatering af spærrelisten Et certifikat udstedt af PBS CSCA er spærret, når dette optræder på en spærreliste (CRL - Certificate Revocation List) udstedt af PBS CSCA. Spærring af certifikater vil foregå i umiddelbar forlængelse af, at PBS hos Rigspolitiet har fået bekræftet, jf. proceduren specificeret i ref. e), at certifikatet skal spærres. Rigspolitiet har herefter mulighed for at verificere certifikatets status på CRL. Spærrelisten sendes som standard e-mail til Rigspolitiet. Spærring af certifikater kan ikke ophæves. 5.5. Logning 5.5.1. Logning af handlinger Som led i de system- og sikkerhedsmæssige kontroller logges bl.a. følgende oplysninger i PBS CA systemet: a. Opstart og nedlukning af systemet. b. Alle oprettelser af og ændringer i operatørrettigheder på systemet. c. Alle operatørhandlinger med relevante status-/fejlmeddelelser i tilknytning hertil. d. Installation af ny hardware, software eller opdateringer hertil. e. Tidspunkt og anden relevant information, såsom foretagen backup og eksport af logfiler, m.v. 5.5.2. Gennemgang af logfiler Logfiler gennemgås og analyseres periodisk for at identificere eventuelle fejl og/eller uautoriserede handlinger. 17.07.2006 Side 11 af 22

5.5.3. Opbevaring og kopiering af logfiler Logfilerne opbevares i 2 eksemplarer i en periode på 10 år. De 2 eksemplarer opbevares på separate sikrede fysiske lokationer. 5.5.4. Beskyttelse af logfiler CSCA specifikke logfiler er integritetsbeskyttede. 5.6. Arkivering Dette afsnit beskriver procedurer, der er relevante for håndtering af arkivmateriale hos PBS CSCA. 5.6.1. Relevante oplysninger, der registreres og arkiveres PBS CA opbevarer følgende materiale: a. Indhold af alle udstedte certifikater. b. Spærringsanmodninger og al øvrig information udvekslet med den, der har anmodet om spærring, herunder tidspunkt for anmodning om spærring. c. Offentliggjorte spærrelister og andet relevant materiale vedrørende certifikatstatus. d. Nuværende og tidligere gældende CPS ere. 5.6.2. Opbevaring af arkiv Arkivoplysninger opbevares i en periode på mindst 15 år. 5.6.3. Beskyttelse af arkivmateriale Arkivmateriale opbevares således, at det er beskyttet mod modifikation og ødelæggelse. 5.7. Fornyelse af certifikater Nye CSCA certifikater udstedes 4 måneder inden udløbet af de gamle certifikater. 5.8. Kompromittering og katastrofesituationer Ved kompromittering af CSCA certifikat, vil PBS: a. Informere Rigspolitiet og pasleverandøren om situationen. b. Spærre alle CSCA - og Document Signer certifikater, som er udstedt på grundlag 17.07.2006 Side 12 af 22

af den kompromitterede PBS CSCA Private Key. c. Udstede ny CSCA Certificate og Document Signer Certifikater. Ved en katastrofesituation f.eks. hvor en brand har ødelagt CA med tilhørende HSM, vil PBS: a) Informere Rigspolitiet og pasleverandøren om situationen. b) Gen-etablere CSCA produktion på bagrund af CA kopi komponenter og backup af data. c) Inkludere HSM (kopi) i den nye CSCA produktionsplatform. 5.9. Lukning af PBS CA Ved lukning af PBS CSCA ophører alle PBS CSCA funktioner. Lukningen varsles over for Rigspolitiet 12 måneder forinden. PBS vil ved overdragelsen af CSCA til Rigspolitiet: a. Udlevere HSM moduler og tilhørende data. b. Udlevere data på alle udstedte CSCA certifikater og Document Signer certifikater der endnu er gyldige. c. Udlevere arkivoplysninger jf. afsnit 5.6.1. 17.07.2006 Side 13 af 22

6. Fysiske, procedure- og personalemæssige sikkerhedsforanstaltninger og kontroller 6.1. Implementering af fysiske sikkerhedsforanstaltninger Der er implementeret fysiske sikkerhedskontroller for at styre adgangen til PBS CSCA hardware og software. Dette inkluderer CA-servere og alle eksterne kryptografiske hardwaremoduler eller chipkort. Der forefindes en log over samtlige fysiske indgange til dette eller de områder, hvor PBS CSCA hardware og software befinder sig. Nøglerne til signering af CSCA certifikater og spærrelister opbevares fysisk beskyttet, således at disse ikke bliver afsløret på grund af uautoriseret adgang til servere. PBS CSCA opbevarer på sikker vis backups, således at tab, manipulation eller uautoriseret anvendelse af opbevaret information kan forhindres. Backups opbevares både for data recovery og for opbevaring af vigtige informationer. Backups opbevares også i lokaliteter, der er forskellig fra PBS CSCA driftsområde for at sikre rekonstruktion i tilfælde af, at en naturkatastrofe indtræffer ved PBS CSCA primære driftsområde. Der foretages regelmæssig sikkerhedskontrol af de fysiske lokaliteter, hvor PBS CSCAs centrale udstyr er opstillet. Kontrollen har til formål at sikre, at PBS CSCA systemet og tilhørende kryptografisk udstyr er forsvarligt opbevaret, hvis de ikke er i brug, at de fysiske sikkerhedssystemer (f.eks. dørlåse og alarmer) fungerer hensigtsmæssigt, og at der ikke har været forsøgt indbrud eller uautoriseret indtrængen. 6.1.1. CA driftscentrets placering og konstruktion PBS CSCA systemet, som omfatter kryptografisk udstyr og kryptografisk materiale, er installeret i fysiske sikre omgivelser. De fysiske sikre omgivelser har et indbrudsdetekteringssystem, og adgangen styres via låse og adgangskort etc. Kameraovervågning med 24 timers vagt er installeret. Indbrudsdetekteringssystemet overvåges 24 timer i døgnet og er forsynet med nødstrømsforsyning. Systemet optager og arkiverer alarmer. Alarmer omfatter såvel autoriserede som uautoriserede hændelser på systemet. Alle alarmer analyseres og løses. Låse sikrer, at udelukkende personale med et arbejdsbetinget behov kan komme ind til PBS CSCA udstyret. Nøgler administreres således, at udlevering og brug kan henføres til personniveau. Distribution og indsamling af nøgler registreres. Loggen for hver enkelt nøgle opbevares til brug for senere inspektion. 6.1.2. Fysisk adgang Adgangen til det fysisk sikrede område, hvor PBS CSCA udstyr indeholdende bl.a. 17.07.2006 Side 14 af 22

CSCA Private Key, kræver tilstedeværelse af minimum 2 personer, som individuelt er blevet tildelt rettigheder til området. Adgangen til PBS CSCA områder er begrænset til det personale, som udfører en af de funktioner, der er beskrevet i afsnit 6.2.1. Adgangen styres ved brug af adgangskontrolsystemer til de rum, hvor PBS CSCA systemet befinder sig. Personer, som ikke optræder på adgangskontrollisten, eskorteres af personer, som har adgang. Der foreligger en procedure for tildeling og ophævelse af adgangsprivilegier. Adgangskontrolsystemet inspiceres regelmæssigt af kvalificeret personale. Denne inspektion dokumenteres og opbevares i mindst 3 år for at understøtte den interne systemrevision. 6.1.3. Strøm, køling og brand PBS CSCA systemet er tilsluttet et nødstrømsforsyningsanlæg og installeret i rum med air-condition. Der er installeret fugtcensorer i gulvene. Automatisk branddetektions- og slukningsudstyr er installeret i de rum, hvor PBS CSCA systemet befinder sig. 6.2. Proceduremæssige kontroller Centrale PBS CSCA funktioner kan kun udføres, hvis minimum 2 personer deltager samtidig ved udførelse af den enkelte funktion. 6.2.1. Funktionsadskillelse For at sikre at en person ikke alene kan omgå sikkerhedskontrollerne, adskilles ansvaret for opgaverne i PBS CSCA systemet på flere funktioner. Funktionsadskillelsen i PBS CSCA er fastlagt i overensstemmelse med PBS IT-sikkerhedspolitik herunder retningslinjer og forretningsgange. Certifikat Administrator (CAA) CAA funktionen inkluderer følgende opgaver: a. Certifikatfremstilling, som udføres af det centrale PBS CA udstyr i henhold til de definerede regler. b. Nøgleparfremstilling og distribution af spærrelister. c. Administrative funktioner i forbindelse med vedligeholdelse af PBS CSCA database og medvirken ved undersøgelser af misbrugssager. 17.07.2006 Side 15 af 22

System Administrator (SA) SA funktionen inkluderer: a. Udførelse af initial systemopsætning inklusive sikker boot start-up og nedlukning af systemet. b. Initial parameteropsætning. c. Opsætning af netværksparametre. d. Dannelse af backup til brug for nød start-up, hvorfra data kan genskabes i tilfælde af en katastrofesituation. e. Udføre system backups, software opgradering, og foretage sikker opbevaring og distribution af backup til off-site lokationer. f. Ændring af host navne og/eller netværksadresser. Information System Security Officer (ISSO) ISSO rollen inkluderer: a. Tildeling af sikkerhedsprivilegier og adgangsautorisationer til CAA. b. Tildeling af passwords til alle nye operatører. c. Arkivering af de krævede logfiler. d. Gennemgang af revisionslog for at konstatere om CAA overholder forretningsgangene. 6.3. Personalemæssige sikkerhedskontroller 6.3.1. Baggrund, kvalifikationer og erfaring Medarbejderes tidligere ansættelsesforhold kontrolleres med henblik på at indhente oplysninger om personens faglige og personlige egenskaber. Desuden forudsættes en ren straffeattest. Straffeattesten indhentes på ansættelsestidspunktet. PBS medarbejdere, som deltager i fremstilling og udstedelse af certifikater til danske biometriske pas, skal sikkerhedsgodkendes forinden af Rigspolitiet. Personale som er beskæftiget med PBS CSCA-opgaver har den fornødne ekspertise, erfaring og kvalifikationer, herunder sagkundskab inden for elektronisk signaturteknologi og indgående kendskab til sikkerhedsprocedurer. 17.07.2006 Side 16 af 22

Forretningsgange og procedurer er skriftlige og direkte tilgængelige for medarbejdere med et arbejdsbetinget behov. De medarbejdere, som får tildelt opgaver som CAA, SA eller ISSO, er kompetente inden for anvendelsen af kryptografisk udstyr. Medarbejderne har gennemgået uddannelse og træning både i generelle sikkerhedsdicipliner og i anvendelsen af det konkrete kryptografiske udstyr samt i drift af CA. Medarbejdernes viden inden for sikkerhedsområdet holdes vedlige i kraft af deltagelse i kurser og konferencer inden for sikkerhedsområdet. 17.07.2006 Side 17 af 22

7. Nøgleadministration Dette afsnit indeholder beskrivelse af sikkerhedskontroller for administration af offentlig/private nøglepar. 7.1. Nøgleparfremstilling og installation 7.1.1. Nøgleparfremstilling/-beskyttelse PBS CSCA PBS CSCA nøglepar fremstilles inde i et hardwaresikret kryptografisk modul i henhold til FIPS140-2 level 3. Den private nøgle vil forblive i det sikre miljø i forbindelse med dens anvendelse til fremstilling af Document Signer certifikater og sikring af spærrelister. Fremstillingsproceduren og opbevaring af den private nøgle sikrer nøglen mod ændring og afsløring både inde og uden for det kryptografiske modul, der fremstillede den. Input til nøglefremstillingsprocessen er et tilfældigt tal, fremstillet på en sådan måde og med en længde, så det er udregningsmæssigt umuligt at genfremstille det, selv med viden om hvornår og på hvilket udstyr det blev fremstillet. Fremstilling af PBS CA nøglepar kræver medvirken af minimum 2 personer med CAA autorisationsrettigheder. 7.1.2. Nøgleparfremstilling/-beskyttelse CA operatører CAA, SA og ISSO Nøglepar til brug for chipkort til operatører fremstilles inde i et hardwaresikret kryptografisk modul i henhold til FIPS 140-2 level 3. Nøglefremstilling udføres i en batchproces forud for certifikatfremstillingen. Den private nøgle dannes i og opbevares i chipkort. Nøglerne certificeres af en specifik ADM CA hos PBS. 7.1.3. Nøglelængder Længden af PBS CSCA Private Key er mindst 3072 bit modulus (m) for RSA. Længden af Document signer Private key er mindst 2048 bit modulus (m) for RSA. 7.1.4. Backup af CSCA Private Key Der eksisterer en backup af PBS CSCA private Key. Denne backup foretages til et tilsvarende HSM modul som produktionsnøglerne. Endvidere foretages der backup til chipkort, der er forsvarligt sikret i aflåste skabe. Der er fastlagt procedurer for retablering af PBS CSCA Private Key i tilfælde af system- 17.07.2006 Side 18 af 22

nedbrud. 7.1.5. Sletning af private nøgler Ved ophør af brugen af PBS CSCA Private Key bliver alle kopier af private nøgler slettet på sikker vis. 7.2. Arkivering af CSCA certifikater PBS CSCA opbevarer kopi af de CSCA certifikater fra andre lande, som Rigspolitiet leverer til PBS. Disse certifikater bliver beskyttet med brug af HSM. 7.3. Anvendelsesperiode for CSCA Private Key CSCA certifikatet kan blive anvendt til at eftervise en digital signatur, såfremt det kan fastslås, at signaturen var fremstillet før udløbet af CSCA certifikatet eller før tidspunktet for spærring. PBS CSCAs certifikat er gyldig i : 3 år: CSCA Private Key anvendelsesperiode 10 år: Gyldighedsperiode for pas 4 måneder: Ekstra gyldighedsperiode som kan anvendes af de lokale politikredse 3 måneder: DS Key anvendelsesperiode 14 dage: Sikkerhedsmargin for DS Key 1 år: For at modregne at DS certifikater bliver fremstillet 1 år frem i tiden 1 år Sikkerhedsmargin for CSCA key (PBS kommer tilbage med forslag til dette) Total gyldighedsperiode: 15 år + 7 måneder + 14 dage. 7.4. Sikkerhedskontroller i PBS CA systemet Implementerede sikkerhedskontroller sikrer et fuldstændigt og intakt kontrol- og transaktionsspor for nøgleadministrationen på CSCA-systemet, jf. 5.5. 7.4.1. Specifikke tekniske krav til systemsikkerhed Registrering af de initiale rettigheder i certificeringssystemet udføres og kontrolleres af 2 sikkerhedsadministratorer i forening og dokumenteres i underskrevet procedurelog. 17.07.2006 Side 19 af 22

Initialisering af det system, der anvender PBS CSCA s Private Key, kræver medvirken af mindst 2 operatører, som begge er identificeret af systemet (dual access og dual control). 7.5. Tekniske kontroller (livscyklus) 7.5.1. Systemudviklingskontroller Udvikling af PBS CA applikationssoftware, som implementerer CA funktionalitet, udføres i kontrollerede omgivelser. Det er et krav, at leverandøren benytter et kvalitetssikringssystem, som er i overensstemmelse med internationale standarder, herunder beskyttelse mod indlæggelse af uautoriseret programmel f.eks. virus. 7.6. Netværkssikkerhedskontroller PBS CA systemet, der er forbundet til et eksternt net, sikres med en firewall. Firewall en skal have tilstrækkelig styrke til at beskytte det mod angreb, der kan forudses at opstå på det specifikke net, som det er tilsluttet. Firewall en konfigureres således, at kun en minimal mængde af protokoller tillades. Kun de protokoller, der er identificeret som nødvendige for at implementere PBS CA eller RA funktioner, tillades; alle andre bliver afvist. Desuden er servere konfigureret således, at kun den minimale funktionalitet, der er nødvendig for at realisere PBS CA til stede. Alle kommunikationsporte, som ikke eksplicit er nødvendige er de-aktiveret, og softwareprocesser, der benytter disse porte, er slået fra. Kommunikation til og fra PBS CA system, over et eksternt net, er sikret kryptografisk (triple DES). 7.7. Softwaresikkerhedskontrol Der foreligger forretningsgange, der sikrer funktionsadskillelse mellem udvikling, vedligeholdelse og drift. Udviklings- og vedligeholdelsesmedarbejdere kan dermed ikke egenhændigt installere nye programversioner. Et Change Management System sikrer, at nye versioner skal godkendes af en produktansvarlig inden installation. 7.8. Systemer og produkter PBS CA systemet er baseret på Technology Nexus AB Certifikat Manager, som er certificeret efter CEN CWR (CEN Workshop Agreement) 14167-1. Den anvendte chip til medarbejderchipkort er godkendt efter ITSEC E4/High sikkerhedsvurderingen. 17.07.2006 Side 20 af 22

Kommunikationen mellem chipkort og PBS CA Certifikat Manager er baseret på en SSL internet forbindelse med stærk kryptering og med klientgenkendelse. 17.07.2006 Side 21 af 22

8. Systemrevision 8.1. Definition af systemrevision Ved systemrevision forstås revision af, 1. generelle edb-kontroller i virksomheden, 2. edb-baserede brugersystemer m.v. til generering af nøgler og nøglekomponenter samt registrering, udstedelse, verificering, opbevaring og spærring af certifikater, og 3. edb-systemer til udveksling af data med andre. Revision sker som led i leverandørens almindelige revision. Rigspolitiet vil en gang årligt modtage en Systemrevisionserklæring vedrørende PBS A/S ydelser for tilsluttede finansielle virksomheder. 8.2. PBS systemrevisor Systemrevisor rapporterer til bestyrelsen i PBS A/S via systemrevisors løbende revisionsprotokol. Den løbende revisionsprotokol fremlægges på ethvert bestyrelsesmøde. Protokoltilføjelser underskrives af bestyrelsen og systemrevisor. Systemrevisor afgiver i protokollen beretning om den gennemførte systemrevision samt konklusionerne herpå (inkl. redegørelse for alle væsentlige bemærkninger). Systemrevisor skal i protokollatet ved årets afslutning erklære sig om, hvorvidt 1. systemrevisionen er udført i overensstemmelse med god revisionsskik, 2. han har modtaget alle de oplysninger, han har anmodet om, 3. de anførte revisionsopgaver er udført ifølge denne CPS krav, og 4. den samlede data-, system- og driftssikkerhed må anses for betryggende. Systemrevisor er i øvrigt forpligtet til at udføre revisionsmæssige opgaver, der er beskrevet i den relevante CP. 17.07.2006 Side 22 af 22