Overeenkomst voor GlobalSign-abonnees. Overeenkomst voor GlobalSign-abonnees Versie 3.3

Transcriptie

1 Overeenkomst voor GlobalSign-abonnees Versie 3.3 Dit document is een vertaling van de oorspronkelijk Engelse tekst. De originele versie is te vinden op In het geval dat er een verschil in interpretatie bestaat tussen de vertaling en de originele Engelse versie, is de originele Engelse versie doorslaggevend. LEES DEZE OVEREENKOMST ZORGVULDIG DOOR ALVORENS HET CERTIFICAAT DAT AAN U OF UW BEDRIJF IS UITGEGEVEN, TE GEBRUIKEN. DOOR DIT CERTIFICAAT AAN TE VRAGEN GAAT U AKKOORD MET EN BENT U GEBONDEN AAN DE VOORWAARDEN VAN DEZE OVEREENKOMST. ALS U NIET AKKOORD GAAT MET DE VOORWAARDEN VAN DEZE OVEREENKOMST, ANNULEER DAN DE ORDER BINNEN ZEVEN (7) DAGEN NA LEVERING VAN HET CERTIFICAAT VOOR EEN VOLLEDIGE RESTITUTIE. INDIEN ER ONDUIDELIJKHEDEN ZIJN IN DEZE OVEREENKOMST, KUNT U EEN STUREN NAAR legal@globalsign.com Deze abonneeovereenkomst van GlobalSign ("overeenkomst") tussen GlobalSign en de aanvrager of abonnee is van kracht vanaf de datum van de aanvraag voor het digitale certificaat (de "ingangsdatum"). 1.0 Definities en voorschriften die krachtens verwijzing deel uitmaken van de overeenkomst De volgende definities worden in deze Overeenkomst gebruikt: Gelieerde: Een onderneming, partnerschap, joint venture of andere controlerende entiteit, gecontroleerd door, of onder gezamenlijke controle met een andere entiteit, of een bureau, ministerie, staatkundig niveau of een entiteit die opereert onder de directe controle van een overheidsentiteit. Aanvrager: De natuurlijke persoon of juridische entiteit die een certificaat of de verlenging daarvan aanvraagt. Zodra het certificaat is afgegeven, wordt naar de juridische entiteit verwezen met abonnee. Voor certificaten afgegeven voor apparaten is de aanvrager de entiteit die het apparaat genoemd in het certificaat beheert of bedient, zelfs als het apparaat de feitelijke certificaataanvraag verzendt. Leverancier van applicatiesoftware: Een leverancier van Internet-browsersoftware of andere applicatiesoftware van afhankelijke partijen die certificaten weergeeft of gebruikt en waarin stamcertificaten zijn opgenomen. Toegang tot informatie instantie: Een uitbreiding van het certificaat waarin aangegeven wordt hoe u toegang krijgt tot informatie en diensten van de uitgever van het certificaat waarin de uitbreiding voorkomt. CA/Browser-forum: Een groep van experts uit de branche bestaande uit CA's (certificatie-instanties) en Application Software Suppliers (leveranciers van applicatiesoftware). Meer informatie vindt u op Certificaat: Een elektronisch document met een digitale handtekening om een openbare sleutel en een identiteit te koppelen. Certificaatbegunstigden: De abonnee die een partij is in de abonnee-overeenkomst of gebruiksvoorwaarden voor het certificaat, alle leveranciers van applicatiesoftware met wie GlobalSign een contract is aangegaan voor opname van zijn stamcertificaat (Root Certificate) in software die door voornoemde leveranciers van applicatiesoftware wordt gedistribueerd en alle afhankelijke partijen die redelijkerwijs afhankelijk zijn van een geldig certificaat. Certificaatbeheerder: Een aangewezen persoon die verantwoordelijk is voor de certificaatcyclus. Deze persoon kan dezelfde persoon te zijn als de abonnee, maar dat hoeft niet zo te zijn. Certificaataanvraag: Communicatie beschreven in Deel 10.2 van de Minimumeisen van het CA/Browser-forum voor de afgifte van vertrouwde certificaten (de minimumeisen ), waarin wordt verzocht om de afgifte van een certificaat. Overeenkomst voor abonnees versie van 12

2 Certificaataanvrager: De vertegenwoordiger van de aanvrager die uitdrukkelijke machtiging heeft om de aanvrager te vertegenwoordigen, of een derde (zoals een ISP of hostingonderneming) die de certificaataanvragen namens de aanvrager invult en indient. Certificaataanvragers kunnen van te voren goedgekeurd worden via een GlobalSign managed service, zoals MSSL of EPKI. Lijst ingetrokken certificaten (CRL, Certificate Revocation List): Een regelmatig bijgewerkte en van een tijdstempel voorziene lijst van ingetrokken certificaten die is gemaakt en digitaal ondertekend door de CA die de certificaten heeft afgegeven. Certificatie-instantie ( CA, Certification Authority): Een organisatie die verantwoordelijk is voor de creatie, afgifte, intrekking en het beheer van certificaten. De term is van toepassing op zowel Root CA's als ondergeschikte certificatie-instanties. GlobalSign of een entiteit die door GlobalSign is gecertificeerd om de certificaten aan de Gebruiker uit te geven. GlobalSign is de CA van de aanvrager volgens deze overeenkomst. Aantasting: Een schending van (een onderdeel van) een beveiligingsbeleid dat leidt tot verlies van controle over vertrouwelijke informatie. Digitale handtekening: Hiermee wordt een bericht gecodeerd. Er wordt een asymmetrisch cryptografisch systeem en een hash-functie gebruikt, zodat een persoon die over het oorspronkelijke bericht en de openbare sleutel van de ondertekenaar beschikt nauwkeurig kan vaststellen of de transformatie tot stand is gekomen met de persoonlijke sleutel die hoort bij de openbare sleutel van de ondertekenaar en of het oorspronkelijke bericht is veranderd na de transformatie. Digitaal ondertekend verwijst naar elektronische gegevens waaraan een digitale handtekening is toegevoegd. Domeinnaam: Het label toegewezen aan een knooppunt in het DNS (domeinnaamsysteem). Domeinnaamregistrant: Soms de eigenaar van een domeinnaam genoemd, maar het betreft de persoon/personen of entiteiten die is/zijn geregistreerd bij een domeinnaambeheerder met het recht om te bepalen hoe een domeinnaam wordt gebruikt, zoals de natuurlijke persoon of juridische entiteit die wordt vermeld als Registrant door WHOIS of de domeinnaambeheerder. Domeinnaambeheerder: Een persoon of entiteit die domeinnamen registreert en beheert onder toezicht van of op grond van een overeenkomst met: (i) ICANN (Internet Corporation for Assigned Names and Numbers), (ii) een nationaal domeinnaaminstituut/register of (iii) een NIC (netwerkinformatiecentrum) (inclusief hun gelieerde partijen, contractanten, afgevaardigden, vertegenwoordigers, rechtsopvolgers en rechtverkrijgenden daarvan). Domeinnaamsysteem: Een Internet-dienst waarmee domeinnamen worden vertaald in IP-adressen. Fully-Qualified Domain Name: Een domeinnaam die de labels bevat van alle hogere knooppunten in het Internet-DNS (Domeinnaamsysteem). GlobalSign: De entiteit GlobalSign waarbij de abonnee een order heeft geplaatst om het certificaat te kopen: GMO GlobalSign Limited, GMO GlobalSign, Inc., GMO GlobalSign Pte. Ltd, GMO GlobalSign Certificate Services Pvt. Ltd of GMO GlobalSign Russia LLC. Overheidsinstantie: Een door de overheid geleide juridische entiteit, instelling, organisatie, ministerie, of vergelijkbaar element van de overheid van een land of staatkundig niveau in dat land (zoals een provincie, stad of gewest etc.). Sleutelpaar: De privé sleutel en de bijbehorende openbare sleutel. Juridische entiteit: Een vereniging, onderneming, partnerschap, trust, overheidsentiteit of andere entiteit met juridische status in het rechtssysteem van een land. Accreditatievereisten voor bevoegde certificatie-instanties van de North American Energy Standards Board ( NAESB ) ( Accreditatiespecificatie NAESB ): De technische eisen en managementeisen waaraan een certificeringsinstantie moet voldoen om door de NAESB te worden geaccrediteerd als een ACA (Authorized Certification Authority, bevoegde certificeringsinstantie) OneClickSSL Plug-In: Een softwareapplicatie die ontworpen is voor de verwerking van het verzoek en de installatie van SSL-certificaten, compleet met beheer van een domein. Overeenkomst voor abonnees versie van 12

3 Online certificaatstatusprotocol ( OCSP ): Een online certificatiecontroleprotocol waarmee applicatiesoftware van afhankelijke partijen de status van een certificaat kan bepalen. Persoonlijke sleutel: De sleutel van een sleutelpaar die geheim wordt gehouden door de houder van het sleutelpaar en die wordt gebruikt voor het maken van digitale handtekeningen en/of het decoderen van elektronische records of bestanden die zijn gecodeerd met de bijbehorende openbare sleutel. Openbare sleutel: De sleutel van een sleutelpaar die bekend kan worden gemaakt door de houder van de bijbehorende persoonlijke sleutel en die wordt gebruikt door een afhankelijke partij om digitale handtekeningen te controleren die zijn gemaakt met de persoonlijke sleutel van de houder en/of het coderen van berichten, zodat deze alleen kunnen worden gedecodeerd met de bijbehorende persoonlijke sleutel van de houder. Registratie-autoriteit ( RA, Registration Authority): Iedere juridische entiteit die verantwoordelijk is voor identificatie en verificatie van de subjecten van certificaten, maar geen certificatie-instantie is en daarom geen certificaten ondertekent of afgeeft. Een registratie-instantie kan assistentie verlenen bij de aanvraag en/of het intrekken van een certificaat. Als de term wordt gebruikt voor de beschrijving van een rol of functie, is er niet per se sprake van een apart lichaam, maar kan de instantie onderdeel zijn van de certificatie-instantie. Afhankelijke partij: Iedere natuurlijke persoon of juridische entiteit die vertrouwt op een geldig certificaat. Een leverancier van applicatiesoftware wordt niet beschouwd als afhankelijke partij wanneer software verspreid door een dergelijke leverancier alleen maar informatie over een certificaat weergeeft. Stamcertificaat: Het zelf-ondertekende certificaat dat is afgegeven door de stamcertificatie-instantie om zichzelf te identificeren en verificatie van certificaten te vereenvoudigen die zijn afgegeven aan ondergeschikte certificatie-instanties. Subject: De natuurlijke persoon, eenheid of juridische entiteit die, of het apparaat of systeem dat, in een certificaat is geïdentificeerd als het subject. Het subject is de abonnee of een apparaat in beheer van en gebruik door de abonnee. Ondergeschikte certificatie-instantie: Een certificatie-instantie waarvan het certificaat is ondertekend door de stamcertificatie-instantie of een andere ondergeschikte certificatie-instantie. Abonnee: Een natuurlijke persoon of juridische entiteit aan wie een certificaat is afgegeven en die wettelijk gebonden is aan een abonneeovereenkomst of gebruiksvoorwaarden. Verdachte code: Programmacode die kwaadaardige functies of ernstige bedreigingen bevat, waaronder spyware, malware en andere code die zonder toestemming van de gebruiker wordt geïnstalleerd en zich verzet tegen verwijdering, en code die kan worden benut op manieren die de ontwerpers niet voor ogen stonden, om de betrouwbaarheid van de platforms waarop ze worden uitgevoerd te ondermijnen. Gebruiksvoorwaarden: Bepalingen aangaande veilige opslag en acceptabel gebruik van een certificaat die zijn afgegeven overeenkomstig de minimumeisen als de aanvrager/abonnee gelieerd is aan de CA. Wildcard-certificaat: Een certificaat dat een asterisk (*) bevat uiterst links in een van de Fully- Qualified Domain Names van het subject in het certificaat. De volgende beleidsregels en bijbehorende richtlijnen zijn opgenomen door middel van verwijzing in deze overeenkomst: Certification Practice Statement ( CPS, certificatiepraktijkverklaring) van GlobalSign. De huidige versie van de CPS is te vinden op en de minimumeisen. Overeenkomst voor abonnees versie van 12

4 2.0 Machtiging voor het gebruik van certificaten 2.1 Verlening van autoriteit: Vanaf de ingangsdatum en gedurende de geldigheidsperiode van het uitgegeven certificaat ( Geldig vanaf datum tot Geldig tot datum), verleent GlobalSign de abonnee de autoriteit om het certificaat te gebruiken, samen met de persoonlijke sleutel- of openbare sleutelhandelingen. De verplichting van de Abonnee in deel 4.0 inzake de bescherming van de persoonlijke sleutel geldt vanaf de Ingangsdatum. Vanaf 30 maart 2015 (JST) zal GlobalSign geen SSL/TLS-certificaat uitgeven met een geldigheidsperiode van meer dan 39 maanden, of het nu gaat om een eerste uitgifte, heruitgifte met dezelfde sleutel, heruitgifte met een nieuwe sleutel of anderszins. 2.2 Beperkingen op de autoriteit: De abonnee zal het certificaat uitsluitend gebruiken met cryptografische software die op juiste wijze is gelicentieerd. 3.0 Door GlobalSign geleverde diensten Na aanvaarding van deze Overeenkomst en betaling van de toepasselijke kosten zal GlobalSign of een derde die door GlobalSign wordt aangewezen niet alleen zorg dragen voor de "Verlening van bevoegdheid", maar ook de volgende diensten leveren vanaf het moment van afgifte van het digitale certificaat. 3.1 Levering van de lijsten met ingetrokken certificaten (CRL), Online Certificate Status Protocol (OCSP)-diensten en gegevens over de instantie die het certificaat uitgeeft: GlobalSign zal alle redelijke inspanning leveren om het volgende te compileren, samen te stellen en elektronisch beschikbaar te stellen voor alle door de CA van GlobalSign ondertekende en uitgegeven certificaten: CRL s voor het certificaat met een CRL-certificaatdistributiepunt, OCSP-responsers voor certificaten met een OCSP-responser-URL, en Informatie over de uitgifte van certificaten van de toegangslocaties voor machtigingsinformatie; GlobalSign zal echter niet worden geacht in overtreding te zijn door niet-nakoming van zijn verplichtingen uit hoofde hiervan als resultaat van enige vertraging of tekortkoming in zijn prestaties die voortkomen uit storingen in apparatuur of telecommunicatie die buiten de redelijke invloed van GlobalSign liggen. 3.2 Intrekking van certificaten Intrekking van een certificaat van een abonnee door GlobalSign vindt plaats binnen vierentwintig (24) uur in de volgende situaties: De abonnee verzoekt de GlobalSign-entiteit die het certificaat heeft verstrekt schriftelijk om intrekking van het certificaat; De abonnee stelt GlobalSign ervan op de hoogte dat de originele certificaataanvraag niet toegestaan was en niet met terugwerkende kracht toestemming verleent; GlobalSign verkrijgt redelijk bewijs dat de persoonlijke sleutel van de abonnee is gecompromitteerd, niet langer aan de minimumeisen voor algoritmetype en sleutellengte voldoet of dat het certificaat anderszins is misbruikt; GlobalSign ontvangt bericht of komt er op andere wijze achter dat de abonnee een van de wezenlijke bepalingen van de abonneeovereenkomst of gebruiksvoorwaarden heeft geschonden; GlobalSign wordt ingelicht over omstandigheden waaruit blijkt dat het gebruik van een Fully- Qualified Domain Name of IP-adres in het certificaat juridisch niet meer is toegestaan (een gerechtshof of een arbiter heeft bijvoorbeeld een domeinnaamregistrant het recht om de domeinnaam te gebruiken ontnomen, of een relevante licentie- of dienstovereenkomst tussen de domeinnaamregistrant en de aanvrager is beëindigd of de domeinnaamregistrant heeft verzuimd de domeinnaam te vernieuwen); GlobalSign wordt ingelicht dat een wildcard-certificaat is gebruikt voor de verificatie van een frauduleuze en misleidende ondergeschikte Fully-Qualified Domain Name; Overeenkomst voor abonnees versie van 12

5 Indien GlobalSign melding ontvangt of anderszins te weten komt dat een materiële wijziging in de informatie in het certificaat is aangebracht; GlobalSign wordt ingelicht dat het certificaat niet is afgegeven in overeenstemming met de minimumeisen of het certificaatbeleid (CP, Certificate Policy) of deze CPS van GlobalSign; Indien GlobalSign vaststelt dat de informatie in het certificaat niet juist is of misleidend is; Indien GlobalSign zijn activiteiten om enige reden staakt en geen andere certificeringsinstantie heeft aangewezen om ondersteuning te bieden voor intrekking van het certificaat; Het recht van GlobalSign om certificaten af te geven onder de minimumeisen vervalt of wordt ontnomen of beëindigd, tenzij GlobalSign een regeling heeft getroffen om door te gaan met het onderhoud van de opslagplaats voor CRL/OCSP; GlobalSign wordt ingelicht over een mogelijke aantasting van de persoonlijke sleutel van de ondergeschikte CA die is gebruikt voor de afgifte van het certificaat; Intrekking wordt geëist door de CP en/of CPS van GlobalSign; of De technische inhoud of de indeling van het certificaat vormt een onaanvaardbaar risico voor de leveranciers van applicatiesoftware of afhankelijke partijen (het CA/Browser-forum kan bijvoorbeeld constateren dat een afgekeurd cryptografisch/handtekeningsalgoritme of afgekeurde sleutellengte een onaanvaardbaar risico vormt en dat dergelijke certificaten binnen een bepaald tijdsbestek dienen te worden ingetrokken en vervangen door CA s). GlobalSign op de hoogte gebracht wordt van het feit dat het certificaat is gebruikt voor de ondertekening van kwaadaardige software ofwel malware. Intrekking van een certificaat van een abonnee door GlobalSign kan ook plaats vinden binnen vierentwintig (24) uur in de volgende situaties: De abonnee of beheerder van de organisatie verzoekt om intrekking van het certificaat via een GCC-account waarmee de certificaatcyclus wordt geregeld; De abonnee verzoekt om intrekking van het certificaat via een OneClickSSLintrekkingswerkstroom; De abonnee verzoekt om intrekking via een geverifieerd verzoek aan het ondersteuningsteam of de registratie-instantie van GlobalSign; Indien GlobalSign melding ontvangt of anderszins te weten komt dat een abonnee als een geweigerde partij of verboden persoon aan een zwarte lijst is toegevoegd, of werkzaam is vanuit een verboden bestemming volgens de wetgeving in het rechtsgebied van de bedrijfsactiviteiten van GlobalSign; GlobalSign oordeelt dat voortzetting van het gebruik van het certificaat de beveiliging van of de reputatie of status van de GlobalSign CA of GlobalSign als betrouwbaar in gevaar kan brengen. GlobalSign oordeelt dat voortzetting van het gebruik van het certificaat schade berokkent aan de zakelijke activiteiten van GlobalSign of afhankelijke partijen. Bij de vraag of het gebruik van het certificaat schade berokkent aan de zakelijke activiteiten van GlobalSign neemt GlobalSign onder andere het volgende in overweging: de aard van en het aantal klachten dat is ontvangen; de identiteit van de klagende partij(en); de van kracht zijnde relevante wetgeving; en de reacties van de abonnee op vermeend schadelijk gebruik. 3.3 Sleutels genereren: Als sleutelparen namens de abonnee worden gegenereerd door GlobalSign (aangeboden als PKCS#12 of AutoCSR), of de invoegtoepassing OneClickSSL wordt geïnstalleerd en uitgevoerd door de abonnee, zal GlobalSign trachten betrouwbare systemen te gebruiken om dergelijke sleutelparen te genereren, en in dat geval zijn ook de volgende voorwaarden van toepassing: GlobalSign genereert sleutelparen met een platform dat bewezen geschikt is voor het beoogde doel en zorgt ervoor dat de sleutels persoonlijke sleutels gecodeerd zijn, indien ze naar de abonnee worden vervoerd, GlobalSign gebruikt een sleutellengte en algoritme die erkend zijn als geschikt voor het doel van digitale handtekening, en Overeenkomst voor abonnees versie van 12

6 In het geval van EV Code Signing-certificaten erkent Abonnee dat GlobalSign geen sleutelparen zal genereren die kleiner zijn dan 2048 bits en SHA2 aanbiedt als optie voor het versleutelingsalgoritme. 3.4 Keurmerkdiensten voor SSL/TLS-certificaten en OCSP/CRL-antwoorden: GlobalSign geeft de abonnee toestemming om het keurmerk voor beveiligde site van GlobalSign te gebruiken op de website van de abonnee, met een maximum dagelijkse limiet van vijfhonderdduizend ( ) afdrukken per dag. GlobalSign behoudt zich het recht voor om de beschikbaarheid van het keurmerk te beperken of te stoppen indien deze beperking wordt overschreden. GlobalSign biedt 24 uur per dag, 7 dagen per week zijn diensten aan om de geldigheid van een afgegeven certificaat te valideren via een OCSP responder of CRL. Er is een maximum ingesteld van vijfhonderdduizend ( ) validaties per certificaat per dag. GlobalSign behoudt zich het recht voor OCSP stapling af te dwingen als deze limiet wordt overschreden. 3.5 Tijdstempeldiensten voor Code Signing-certificaten: GlobalSign biedt de mogelijkheid om code die is ondertekend met een Code Signing-certificaat voor ondertekening van code van een tijdstempel te voorzien als een gratis dienst, mits de dienst op redelijke wijze wordt gebruikt. Als beproefde praktijk verzoekt GlobalSign de Abonnee de digitale handtekening na het ondertekenen van zijn of haar code van een tijdstempel te voorzien. GlobalSign stelt een limiet voor een redelijk aantal tijdstempels vast voor de geldigheidsperiode van het certificaat voor ondertekening van code en behoudt zich het recht voor om de dienst te stoppen of kosten in rekening te brengen als GlobalSign het aantal tijdstempels als buitensporig beoordeelt. 3.6 Tijdstempeldiensten voor PDF Signing voor Adobe CDS certificaten: GlobalSign biedt de mogelijkheid om tegen betaling Portable Document Format (PDF)-documenten van een tijdstempel te voorzien. Het aantal toegestane tijdstempels per jaar wordt tijdens het aanvraagproces vastgesteld. GlobalSign behoudt zich het recht voor om de dienst in te trekken of extra kosten voor de dienst in rekening te brengen als het aantal aangebrachte tijdstempels hoger is dan deze vastgestelde limiet. 3.7 Tijdstempeldiensten voor Adobe Authorized Trust List (AATL)-certificaat: GlobalSign biedt de mogelijkheid om PDF (Portable Document Format)-documenten van tijdstempels te voorzien als een betaalde dienst. Het aantal handtekeningen per jaar dat door deze dienst wordt toegestaan wordt ingesteld tijdens de aanvraag. GlobalSign behoudt zich het recht voor de dienst te stoppen of extra kosten in rekening te brengen als het aantal tijdstempels de overeengekomen limiet overschrijdt. 4.0 Verplichtingen van de abonnee en garanties Abonnees en/of aanvragers garanderen GlobalSign en de certificaatbegunstigden dat: 4.1 Juistheid van informatie: De abonnee te allen tijde juiste en volledige informatie aan GlobalSign verschaft, zowel in de certificaataanvraag als elders waar GlobalSign dat verlangt in verband met de afgifte van een certificaat, inclusief maar niet beperkt tot, de naam van de aanvraag, informatie-url en beschrijving van de aanvraag in relatie tot EV Code Signing-certificaten. 4.2 Bescherming van een persoonlijke sleutel: De aanvrager alle redelijke pogingen in het werk zal stellen om te allen tijde als enige de beheerder te blijven van de persoonlijke sleutel die in het aangevraagde certificaat moet worden opgenomen, alsmede enige bijbehorende activeringsgegevens of een apparaat, bijvoorbeeld een wachtwoord of token, en genoemde items geheim zal houden en adequaat zal beschermen; 4.3 Aanvaarding van het certificaat: De abonnee de inhoud van het certificaat zal controleren en verifiëren. Overeenkomst voor abonnees versie van 12

7 4.4 Een certificaat van GlobalSign gebruiken: De abonnee zal het certificaat alleen installeren op servers die toegankelijk zijn op de SAN's (subjectaltnames) die op het certificaat vermeld staan en het certificaat alleen gebruiken overeenkomstig alle toepasselijke wetten en in overeenstemming met de abonneeovereenkomst of gebruiksvoorwaarden; indien een certificaat wordt gebruikt voor ondertekening van een PDF, zal de abonnee informatie bewaren waarmee kan worden vastgesteld wie de ondertekening van een bepaald document heeft goedgekeurd. Onder geen beding mag het certificaat worden gebruikt voor criminele activiteiten zoals phishing, fraude, certificeren of ondertekenen van malware. In het geval van EV Code Signing-certificaten, aanvaardt de abonnee aanvullende verplichtingen en garanties om niet willens en wetens software te ondertekenen die verdachte code bevat, en het EV Code Signing-certificaat als volgt te zullen gebruiken: Alleen code te ondertekenen die voldoet aan de eisen uiteengezet in het laatste versie van het CA/Browser-forum Richtlijnen voor de afgifte en het beheer van Extended Validation Code Signing-certificaten. Uitsluitend met inachtneming van alle toepasselijke wettelijke voorschriften Uitsluitend voor geautoriseerde zakelijke bedrijfsactiviteiten en Uitsluitend in overeenstemming met deze overeenkomst Als de Signing Authority vaststelt (hoe dan ook) dat het code heeft ondertekend die kwaadaardige software of serieuze bedreigingen bevat, moet de Signing Authority GlobalSign onmiddellijk informeren. 4.5 Rapportering en intrekking: De abonnee zal onverwijld het gebruik van het certificaat en de bijbehorende persoonlijke sleutel stoppen en ogenblikkelijk GlobalSign verzoeken het certificaat in te trekken wanneer: (a) informatie in het certificaat onjuist of onvolledig is (geworden) of (b) er misbruik of aantasting van de persoonlijke sleutel van de abonnee die hoort bij de openbare sleutel in het certificaat is vastgesteld of wordt vermoed; 4.6 Beëindiging van het gebruik van het certificaat: De abonnee zal onverwijld het gebruik van een persoonlijke sleutel stoppen die hoort bij de openbare sleutel in het certificaat na intrekking van dat certificaat; 4.7 Reactiesnelheid: De abonnee zal binnen achtenveertig (48) uur reageren op de instructies van GlobalSign aangaande aantasting of misbruik van het certificaat; 4.8 Erkenning en aanvaarding: Aanvrager erkent en aanvaardt dat GlobalSign het recht heeft het certificaat onmiddellijk in te trekken als de aanvrager niet voldoet aan de voorwaarden van de abonnee-overeenkomst of gebruiksvoorwaarden of als GlobalSign ontdekt dat het certificaat wordt gebruikt voor criminele activiteiten zoals phishing, fraude of de verspreiding van malware. Met betrekking tot EV Code-Signing-certificaten die worden gebruikt in combinatie met Microsoftdiensten en applicaties erkent de abonnee verder dat zelfs als een EV Code Signing-certificaat niet is ingetrokken door GlobalSign, Microsoft onafhankelijk kan vaststellen dat het certificaat kwaadaardig of aangetast is en de ervaring van de Microsoft-klant in de toepasselijke functies en applicaties van Microsoft aanpassen als weerspiegeling van de conclusie van Microsoft, zonder kennisgeving en met voorbijgaan aan de intrekkingsstatus van het certificaat. 4.9 Exclusieve domeincontrole voor digitaal certificaat SSL/TLS: De abonnee erkent en verklaart dat hij de exclusieve controle over het domein/de domeinen of het IP-adres heeft dat/ die worden vermeld in SubjectAltName(s) waarvoor ze een digitaal certificaat SSL/TLS aanvragen Exclusief beheer voor een PersonalSign-digitaal certificaat : De abonnee erkent en bevestigt dat hij het exclusieve beheer van het adres in handen heeft waarvoor hij een PersonalSign certificaat aanvragt. Indien het exclusieve beheer voor enig(e) adres(sen) stopt, Overeenkomst voor abonnees versie van 12

8 zal de abonnee GlobalSign hiervan onmiddellijk op de hoogte brengen in overeenstemming met zijn verplichtingen krachtens het onderstaande deel Rapportering en intrekking Productie en gebruik van sleutels: Als sleutelparen worden gegenereerd door de abonnee of de certificaatverzoekindiener, moeten betrouwbare systemen worden gebruikt om sleutelparen te genereren, en in dat geval zijn ook de volgende voorwaarden van toepassing: Sleutelparen moeten worden gegenereerd met een platform dat is erkend als geschikt voor dat doel. In het geval van PDF Signing for Adobe CDS, beveiligde en ondertekening van documenten van AATL en EV Code Signing moet dit voldoen aan de eisen van FIPS niveau 2 Een sleutellengte en algoritme moeten worden gebruikt die bewezen geschikt zijn voor het doel van digitale handtekening, en De abonnee waarborgt dat de openbare sleutel die aan de GlobalSign-certificeringsinstantie wordt geleverd, op juiste wijze gekoppeld is aan de gebruikte persoonlijke sleutel. Als sleutelparen zijn gegenereerd in hardware, zoals vereist door de CPS: De abonnee onderhoudt processen, inclusief, zonder beperking, de wijziging van activeringsgegevens, zodat iedere persoonlijke sleutel in een HSM (hardware security module, module voor beveiliging van hardware) of token alleen kan worden gebruikt met de kennis en expliciete actie van slechts één persoon in de organisatie (de Certificaatbeheerder ), De abonnee verzekert dat de bewaker van het certificaat veiligheidstraining heeft gevolgd die geschikt is voor het doel waarvoor het certificaat wordt uitgegeven, en Certificaatbeheerders zullen alle redelijke maatregelen treffen om de exclusieve controle van de persoonlijke sleutel te handhaven, de sleutel vertrouwelijk te houden en de sleutel te allen tijde adequaat te beschermen. Deze persoonlijke sleutel komt overeen met de openbare sleutel die deel uitmaakt van het aangevraagde certificaat en alle bijbehorende authenticatiemechanismen voor toegang tot de sleutel, zoals wachtwoord voor een token of Hardware Security Module NAESB verplichtingen Abonnees bij de NAESB (North American Energy Standards Board) verklaren dat ze zich bewust zijn van de volgende verplichtingen met betrekking tot WEQ PKI-normen via GlobalSign. Eindentiteiten die de bedrijfspraktijknorm WEQ-012 v3.0 hanteren moeten geregistreerd zijn in de EIR (Electric Industry Registry) van de NAESB en bewijs overleggen dat ze bevoegd zijn om als groothandelaar te opereren in de elektriciteitsindustrie. Eindentiteiten of organisaties die toegang nodig hebben tot aanvragen met behulp van verificatie zoals gespecificeerd onder de NAESBbedrijfspraktijknorm WEQ-012, maar die niet als groothandelaar in de elektriciteitsmarkt kunnen worden aangemerkt (bijv. regelgevende instellingen, universiteiten, consultancybureaus etc.) moeten zich laten registreren. Geregistreerde eindentiteiten en de gemeenschap van gebruikers die zij vertegenwoordigen moeten voldoen aan alle verplichtingen van eindentiteiten in de WEQ PKI-normen. Iedere abonneeorganisatie zal tegenover zijn certificatie-entiteit verklaren dat de organisatie de volgende WEQ PKI-normen heeft beoordeeld en erkend: A. De abonnee onderkent de behoefte van de elektriciteitsindustrie aan beveiligde elektronische privé communicatie voor de volgende doelen: Privacy: De verzekering die een entiteit wordt gegeven dat niemand anders dan de ontvanger(s) voor wie bepaalde gegevens uitdrukkelijk zijn bestemd deze gegevens kan of kunnen lezen; Verificatie: De verzekering die een entiteit wordt gegeven dat een andere entiteit ook werkelijk de entiteit is die zij beweert te zijn; Integriteit: De verzekering die een entiteit wordt gegeven dat gegevens niet gewijzigd zijn (al dan niet opzettelijk) tussen daar en hier of tussen toen en nu ; en Overeenkomst voor abonnees versie van 12

9 Niet-afwijzing: Een partij kan niet ontkennen betrokken te zijn geweest bij de transactie of het elektronische bericht te hebben verzonden. B. Abonnee erkent en accepteert de toepassing door de industrie van versleuteling via openbare sleutels waarbij gebruik wordt gemaakt van certificaten om de openbare sleutel van een persoon of computersysteem aan de entiteit te koppelen en ter ondersteuning van een symmetrische uitwisseling van coderingssleutels. C. Abonnee heeft de CPS (Certification Practices Statement, certificatiepraktijkverklaring) van GlobalSign geëvalueerd in het licht van de industrienormen zoals aangegeven door GlobalSign. Aboonnees zijn verplicht hun wettelijke bedrijfsidentificatie te registreren, om een Entiteitscode te verkrijgen die gepubliceerd zal worden in de EIR van de NAESB en die gebruikt zal worden in alle abonneeaanvragen die door de eindeintiteit worden ingediend en in certificaten die daaraan worden afgegeven. Abonnees moeten ook aan de volgende vereisten voldoen: Hun persoonlijke sleutels beschermen, zodat anderen er geen toegang toe hebben. Aangeven via de NAESB EIR dat ze GlobalSign hebben geselecteerd als ACA (Authorized Certification Authority, bevoegde certificatie-instantie). Alle overeenkomsten en contracten met GlobalSign nakomen zoals vereist in de CPS van GlobalSign, zodat GlobalSign certificaten kan afgeven aan de eindentiteit voor gebruik bij het beveiligen van elektronische communicatie. Alle verplichtingen nakomen die GlobalSign in de CPS heeft bepaald, bijvoorbeeld certificaataanvraagprocedures, identiteitscontrole/verificatie van de aanvrager, alsmede certificaatbeheerpraktijken. Bevestigen dat het een certificaatbeheerprogramma heeft, dat alle betrokken medewerkers overeenkomstig dat programma zijn opgeleid en dat de organisatie mechanismen heeft ingesteld om ervoor te zorgen dat men overeenkomstig dat programma te werk gaat. Dit programma omvat, maar is niet beperkt tot: Beveiliging van persoonlijke sleutels voor certificaat en een omgangsbeleid Certificaatintrekkingsbeleid Het type abonnee aangeven (d.w.z. individu, functie, apparaat of toepassing) en complete en juiste informatie verstrekken voor iedere certificaataanvraag. 5.0 Toestemming voor publicatie van informatie De abonnee verklaart zich akkoord dat GlobalSign het serienummer van het certificaat van de abonnee publiceert in verband met de verspreiding door GlobalSign van CRL s en mogelijke OCSP binnen en buiten de GlobalSign hiërarchie. 6.0 Disclaimer met betrekking tot beperkte garantie GLOBALSIGN WIJST ALLE GARANTIES AF MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID EN/OF GESCHIKTHEID VOOR EEN BEPAALD DOEL, TENZIJ DE WET DAT VERBIEDT OF TENZIJ ANDERSZINS IS BEPAALD HIERIN. VOOR ZOVER GLOBALSIGN HET CERTIFICAAT HEEFT AFGEGEVEN EN BEHEERD IN OVEREENKOMSTIG DE BASISVEREISTEN EN DE CPS, IS GLOBALSIGN NIET AANSPRAKELIJK JEGENS DE ABONNEE, AFHANKELIJKE PARTIJ OF ENIGE DERDE VOOR ENIGE VERLIEZEN DIE ZIJN GELEDEN ALS GEVOLG VAN HET GEBRUIK VAN EEN DERGELIJK CERTIFICAAT. DE AANSPRAKELIJKHEID VAN GLOBALSIGN JEGENS ABONNEE, AFHANKELIJKE PARTIJ OF ENIGE DERDE VOOR DERGELIJKE VERLIEZEN ZAL ANDERSZINS IN GEEN ENKEL GEVAL MEER DAN DUIZEND DOLLAR (U.S. $1.000) Overeenkomst voor abonnees versie van 12

10 PER CERTIFICAAT BEDRAGEN.; VOOROPGESTELD ECHTER DAT DE LIMIET TWEEDUIZEND DOLLAR (U.S. $2.000) PER CERTIFICAAT ZAL BEDRAGEN VOOR EEN EV-CERTIFICAAT OF EEN EV-CODE SIGNING-CERTIFICAAT. DEZE LIMIET AAN AANSPRAKELIJKHEID BEPERKT SCHADEVERGOEDING DIE BUITEN DE CONTEXT VAN HET GARANTIEBELEID VAN GLOBALSIGN KAN WORDEN GEVORDERD. ER ZIJN LIMIETEN AAN AANSPRAKELIJKHEID VAN TOEPASSING OP BEDRAGEN DIE WORDEN BETAALD UIT HOOFDE VAN HET GARANTIEBELEID. IN GEEN GEVAL IS GLOBALSIGN AANSPRAKELIJK VOOR ENIGE INDIRECTE, INCIDENTELE, SPECIALE SCHADE OF GEVOLGSCHADE, OF VOOR ENIGE WINSTDERVING, VERLIES VAN GEGEVENS OF ANDERE INDIRECTE, INCIDENTELE SCHADE OF GEVOLGSCHADE DIE VOORTVLOEIT UIT OF VERBAND HOUDT MET HET GEBRUIK, DE LEVERING, LICENTIE, FUNCTIONEREN OF NIET FUNCTIONEREN VAN CERTIFICATEN, DIGITALE HANDTEKENINGEN OF ENIGE ANDERE TRANSACTIES OF DIENSTEN DIE ZIJN AANGEBODEN OF WAARIN DEZE CPS VOORZIET. DEZE BEPERKTE AANSPRAKELIJKHEID ZAL HETZELFDE ZIJN ONGEACHT HET AANTAL DIGITALE HANDTEKENINGEN, TRANSACTIES OF CLAIMS IN VERBAND MET EEN DERGELIJK CERTIFICAAT. 7.0 Voorwaarden en beëindiging Deze overeenkomst wordt ten vroegste beëindigd: op de vervaldatum van het certificaat dat aan de abonnee is uitgegeven door GlobalSign, ofwel direct, indirect of via een MSSL- of EPKI-service die niet verlopen is; of indien de abonnee enige materiële verplichting krachtens deze overeenkomst niet nakomt, indien deze overtreding niet binnen dertig (30) dagen na ontvangst van de kennisgeving hierover van GlobalSign is opgelost. 8.0 Effect van beëindiging Na beëindiging van deze overeenkomst om wat voor reden dan ook, kan GlobalSign het certificaat van de abonnee intrekken volgens de procedures van GlobalSign. Na intrekking van het certificaat van de abonnee, om welke reden dan ook, wordt alle autoriteit die aan de abonnee is verleend krachtens deel 2, beëindigd. Dergelijke beëindiging heeft geen invloed op delen 4, 5, 6, 8 en 9 van deze overeenkomst, die volledig van kracht en in werking zullen blijven tot de mate die nodig is om de volledige uitvoering hiervan mogelijk te maken. 9.0 Diverse 9.1 Geldende wetgeving Als de contractpartij GMO GlobalSign Limited is, is op deze overeenkomst de wetgeving van Engeland en Wales van toepassing en de overeenkomst wordt volgens deze wetgeving uitgelegd en geïnterpreteerd, ongeacht bepalingen omtrent wetsconflicten. Alle geschillen voortvloeiend uit of enig verband houdend met de overeenkomst worden beslecht door de Engelse rechtbank. Als de contractpartij GMO GlobalSign Inc. is, is op deze overeenkomst de wetgeving van de staat New Hampshire, VS van toepassing en de overeenkomst wordt volgens deze wetgeving uitgelegd en geïnterpreteerd, ongeacht bepalingen omtrent wetsconflicten. Alle geschillen voortvloeiend uit of enig verband houdend met de overeenkomst worden beslecht door de rechtbank van de staat New Hampshire in de VS. Als de contractpartij GMO GlobalSign Pte. Ltd. is, is op deze overeenkomst de wetgeving van Singapore van toepassing en de overeenkomst wordt volgens deze wetgeving uitgelegd en geïnterpreteerd, ongeacht bepalingen omtrent wetsconflicten. Alle geschillen voortvloeiend uit of enig verband houdend met de overeenkomst worden beslecht door de rechtbank in Singapore. Overeenkomst voor abonnees versie van 12

11 Als de contractpartij GMO GlobalSign Certificate Services Pvt. Ltd is, zal op deze overeenkomst Indiaas recht van toepassing zijn en wordt deze opgevat en geïnterpreteerd overeenkomstig de wetten van India en de betreffende wetten van de deelstaat, zonder rekening te houden met bepalingen aangaande de strijdigheid van wetten. Eventuele geschillen zullen worden voorgelegd aan de bevoegde rechter in India. Als de contractpartij GMO GlobalSign Russia LLC is, zal op deze overeenkomst het recht van de Russische Federatie van toepassing zijn en zal deze overeenkomst dienovereenkomstig worden uitgelegd, zonder rekening te houden met bepalingen aangaande de strijdigheid van wetten. Geschillen zullen worden voorgelegd aan de bevoegde rechtbank in de Russische Federatie. 9.2 Bindend karakter Tenzij anders bepaald hierin zal deze overeenkomst bindend zijn voor, en ten goede komen van, de opvolgers, executeurs, erfgenamen, vertegenwoordigers, administrateurs en toegewezenen van de betrokken partijen. Noch deze overeenkomst noch de rechten van de abonnee op het certificaat kunnen door de abonnee worden zijn overgedragen. Dergelijke bedoelde toewijzing of overdraging is ongeldig en is niet van kracht, en geeft GlobalSign het recht deze overeenkomst te beëindigen. 9.3 Volledige overeenkomst Deze overeenkomst, samen met alle documenten waarnaar hierin wordt verwezen, elke product- of dienstovereenkomst en de wederverkopersovereenkomst (als u een wederverkoper bent) vormen de volledige overeenkomst tussen de partijen en nemen de plaats in van enige vorige mondelinge of schriftelijke overeenkomsten, afspraken of communicatie met betrekking tot het onderwerp van deze overeenkomst. In deze overeenkomst wordt specifiek Microsoft genoemd als een begunstigde derde voor codeondertekening en Extended Validation Code Signing-certificaten. Abonnee erkent dat Microsoft onafhankelijk kan vaststellen dat een certificaat kwaadaardig of aangetast is en Microsoft-diensten en applicaties kunnen de ervaring van de Microsoft-klant aanpassen als weerspiegeling van de conclusie van Microsoft, zonder kennisgeving en met voorbijgaan aan de intrekkingsstatus van het certificaat. 9.4 Scheidbaarheid Als om wat voor reden dan ook en in welke mate dan ook een clausule van deze overeenkomst of de toepassing daarvan ongeldig of niet uitvoerbaar wordt geacht, wordt de rest van deze overeenkomst en de toepassing van dergelijke clausules voor andere personen of in andere omstandigheden zo uitgelegd dat de intentie van beide partijen zo goed en redelijk mogelijk tot uitdrukking wordt gebracht. HET IS DUIDELIJK EN BEIDE PARTIJEN KOMEN OVEREEN DAT ELKE CLAUSULE VAN DEZE OVEREENKOMST DIE EEN BEPERKING VAN AANSPRAKELIJKHEID, DISCLAIMER VAN GARANTIES OF UITZONDERING VAN SCHADELOOSSTELLING VOORZIET, DOOR DE PARTIJEN ALS SCHEIDBAAR EN ONAFHANKELIJK VAN ANDERE CLAUSULES WORDT GEZIEN, EN ALS ZODANIG ZAL WORDEN TOEGEPAST. 9.5 Kennisgevingen Indien de abonnee de wens heeft of vereist is te voorzien in een kennisgeving, eis of verzoek aan GlobalSign in verband met deze overeenkomst, dient dergelijke communicatie schriftelijk te worden ingediend en wordt uitsluitend van kracht indien deze per koerier en met een schriftelijk ontvangstbewijs, of per aangetekende post, gefrankeerd en met een ontvangstbevestiging, geadresseerd is aan GlobalSign op een van de adressen van onze internationale vestigingen zoals vermeld op Ten name van: Juridische afdeling (Legal Department). Een dergelijke kennisgeving zal na ontvangst geacht worden te zijn betekend. 9.6 Toestemming voor gebruik van databases van derden Overeenkomst voor abonnees versie van 12

12 Voor natuurlijke personen kan GlobalSign onderdelen zoals naam, adres en andere persoonlijke informatie controleren die bij de aanvraag zijn opgegeven, via geschikte databases van derden. Door deze overeenkomst aan te gaan, geeft de abonnee toestemming voor dergelijke controles. Om deze controles te kunnen uitvoeren, kan persoonlijke informatie die de abonnee heeft opgegeven, bekend worden gemaakt aan geregistreerde kredietregistratiekantoren, die deze informatie kunnen bewaren. Een dergelijke controle wordt alleen uitgevoerd om de identiteit te bevestigen. Een kredietcontrole wordt niet uitgevoerd. De kredietwaardigheid van de abonnee wordt niet beïnvloed door deze procedure. Als de contractuele partij GMO GlobalSign Russia LLC is, kan GlobalSign voor natuurlijke personen items zoals naam, adres en andere persoonsgegevens valideren die verstrekt zijn tijdens de aanvraagprocedure. Door deze overeenkomst aan te gaan stemt de abonnee erin toe dat zijn persoonsgegevens op de volgende manieren worden verwerkt door GlobalSign: verzameld, geclassificeerd, verwerkt, opgeslagen, bewerkt, gebruikt, onpersoonlijk gemaakt, geblokkeerd en verwijderd, zoals vermeld in de Russische Federale Wet FZ-Nr. 152 van 27/07/2006, en ook overgedragen aan derden in situaties op grond van voorschriften van de hogere instanties en de wet. 9.7 Handelsnamen, logo s Op basis van deze overeenkomst en de uitvoering hiervan, zullen de abonnee noch GlobalSign enige rechten verkrijgen voor enigerlei handelsmerk, merknaam, logo of producttoewijzing van de andere partij en zullen op generlei wijze hiervan gebruikmaken anders dan indien schriftelijk gemachtigd door de andere partij die de eigenaar is van alle rechten op dergelijke handelsmerken, handelsnamen, logo s of producttoewijzingen Klantenondersteuning De abonnee moet GlobalSign onmiddellijk informeren als het digitale certificaat een fout bevat, via een van de internationale kantoren, die staan vermeld op Als de abonnee niet binnen 7 dagen na ontvangst reageert, wordt aangenomen dat het digitale certificaat is geaccepteerd. GlobalSign doet terugbetalingen op basis van het Terugbetalingsbeleid van GlobalSign dat gepubliceerd is op Overeenkomst voor abonnees versie van 12