Certification Practice Statement BAPI

Transcriptie

1 Certification Practice Statement BAPI KPN Corporate Market B.V. KPN Corporate Market BV Fauststraat BA Apeldoorn Postbus HN Apeldoorn T +31 (0) K.v.K. Amsterdam nr NL B01 Datum Plaats Apeldoorn Redacteur Henk Dekker Functie Security Process consultant Referentie ASQQ11016 Versie versie 1.1 Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen in een dataverwerkend systeem of uitgezonden in enige vorm door middel van druk, fotokopie of welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van de directeur van KPN Corporate Market B.V.

2 Inhoudsopgave 1 Introductie op het Certification Practice Statement Overview Doelgroep en leeswijzer Doel van het BAPI CPS Verhouding tussen BAPI CP en BAPI CPS Positionering van het BAPI CPS Status Documentnaam en Identificatie Gebruikersgemeenschap Certificaatgebruik Certificaatgebruik CA-model Beheer van het BAPI CPS Uitbesteding van werkzaamheden Verantwoordelijkheid voor Publicatie en Elektronische Opslagplaats Elektronische opslagplaats Publicatie van CSP-informatie Publicatie van het Certificaat Tijdstip of frequentie van publicatie Toegang tot gepubliceerde informatie Identificatie en authenticatie Naamgeving Soorten naamformaten Noodzaak van betekenisvolle namen Anonimiteit of pseudonimiteit Regels voor interpretatie van verschillende naamformaten Uniciteit van namen Geschillenbeslechting inzake naam claims Erkenning, authenticatie en de rol van handelsmerken Initiële identiteitsvalidatie Methode om bezit van Private Sleutel aan te tonen Authenticatie van de Abonnee Authenticatie van persoonlijke identiteit Autorisatie van de Gemachtigde Identificatie en Authenticatie Identificatie en Authenticatie aanvraag BAPI-certificaat Identificatie en Authenticatie bij verlenging / vernieuwing (versnelde procedure) Identificatie en Authenticatie bij het vernieuwen van het sleutelmateriaal Identificatie en Authenticatie bij routinematige vernieuwing van het certificaat Identificatie en Authenticatie bij vernieuwing van het Certificaat na intrekking /61

3 3.4 Identificatie en Authenticatie bij verzoeken tot intrekking Operationele eisen certificaatlevenscyclus Certificaataanvraag Wie kan een Certificaataanvraag indienen Verantwoordelijkheden en verplichtingen Verantwoordelijkheden en verplichtingen van de CSP Verantwoordelijkheden en verplichtingen van de Abonnee Verantwoordelijkheden en verplichtingen van de Gemachtigde Verantwoordelijkheden en verplichtingen van de Vertrouwende Partij Het proces Verwerken van certificaataanvragen Registratie van Abonnee en Gemachtigde Aanvraag van nieuwe BAPI-certificaten Aanvraag verlenging / vernieuwing Certificaten (versnelde procedure) Certificaataanvraagverwerkingstijd Uitgifte van BAPI-certificaten Melding van certificaatvervaardiging aan de Abonnee Acceptatie van certificaten Acceptatie van Certificaten Publicatie van het Certificaat door de CA Verantwoordelijkheden bij sleutelpaar- en certificaatgebruik Certificaat vernieuwing Certificaat rekey Aanpassing van Certificaten Intrekking en opschorting van certificaten Omstandigheden die leiden tot intrekking Wie mag een verzoek tot intrekking doen? Procedure voor een verzoek tot intrekking Tijdsduur voor verwerking intrekkingsverzoek Controlevoorwaarden bij raadplegen certificaat statusinformatie CRL-uitgiftefrequentie Maximale vertraging bij CRL-uitgifte Online intrekking/statuscontrole Certificate Status Service Beëindiging van het abonnement Andere aankondigingen van intrekking Certificaatopschorting Key Escrow and Recovery Management, operationele en fysieke beveiligingsmaatregelen Fysieke beveiliging Locatie, constructie en fysieke beveiliging Beveiliging Certificaathouders Opslag van media Afval verwijdering Off-site backup /61

4 5.2 Procedurele beveiliging Vertrouwelijke functies Aantal personen benodigd per taak Beheer en beveiliging Functiescheiding Personele beveiligingsmiddelen Vakkennis, ervaring en kwalificaties Trusted Employee Policy Procedures ten behoeve van beveiligingsaudits Vastlegging van gebeurtenissen Bewaartermijn audit-log Bescherming van audit-log Audit-log back-up procedure Archivering van documenten Vastlegging van gebeurtenissen Bewaartermijn archief Bescherming van archieven Archief back-up procedure Voorwaarden aan tijdsaanduiding van vastgelegde gebeurtenissen Vernieuwen van sleutels Aantasting en continuïteit Calamiteitmanagement Uitwijk CSP-beëindiging Technische beveiliging Genereren en installeren van sleutelparen Genereren van sleutelparen Overdracht van Private Sleutel aan Abonnee Overdracht van de Publieke Sleutel van de Abonnee Overdracht van de Publieke Sleutel van CSP aan Vertrouwende Partijen Sleutellengten Generatie van Publieke Sleutel-parameters Gebruik van het sleutelpaar Doelen van sleutelgebruik (zoals bedoeld in X.509 v3) Private sleutelbescherming en cryptografische module engineering beheersmaatregelen Standaarden voor cryptografische module Controle op Private Sleutel door meerdere personen Escrow van Private Sleutels van Certificaathouders Back-up van Private Sleutels Archivering van Private Sleutels Toegang tot Private Sleutels in cryptografische module Opslag van Private Sleutels in cryptografische module Activering van Private Sleutels Deactivering van Private Sleutels Methode voor het vernietigen van Private Sleutels /61

5 Eisen voor veilige middelen voor opslag en gebruik van Certificaten Andere aspecten van sleutelpaarmanagement Archiveren van Publieke Sleutels Gebruiksduur voor Certificaten,Publieke Sleutel en Private Sleutels Activeringsgegevens Genereren en installeren van activeringsgegevens Bescherming activeringsgegevens Werking van de activeringsgegevens Logische toegangsbeveiliging van CSP-systemen Specifieke technische vereisten aan computerbeveiliging Beheer en classificatie van middelen Beheersmaatregelen technische levenscyclus Beheersmaatregelen ten behoeve van systeemontwikkeling Security Management beheersmaatregelen Netwerkbeveiliging Time-stamping Certificaatprofielen Certificaatprofielen BAPI CP OID Overzicht Certificaatprofielen DS certificaten E certificaten Certificaten voor de Belastingdienst Conformiteitbeoordeling Algemene en juridische bepalingen Tarieven Financiële verantwoordelijkheid en aansprakelijkheid Vertrouwelijkheid van bedrijfsgevoelige gegevens Opsomming van gegevens die als vertrouwelijk worden beschouwd Opsomming van gegevens die als niet-vertrouwelijk worden beschouwd Verantwoordelijkheid om geen gegevens te verstrekken Vertrouwelijkheid van persoonsgegevens Privacy Statement Vertrouwelijke persoonsgegevens Niet-vertrouwelijke gegevens Verantwoordelijkheid om Private Sleutels te beschermen Melding van- en instemming met het gebruik van persoonsgegevens Overhandiging van gegevens als gevolg van rechtsgeldige sommatie Verstrekking in verband met privaatrechtelijke bewijsvoering Verstrekking op verzoek van de eigenaar Openbaarmaking informatie intrekking certificaat Andere omstandigheden die kunnen leiden tot informatieverstrekking Intellectuele eigendomsrechten Verplichtingen en garanties /61

6 9.7 Beperkingen van garanties Aansprakelijkheid Aansprakelijkheid van KPN Beperkingen van aansprakelijkheid jegens de Vertrouwende Partij Vertrouwensrelaties Beëindiging Communicatie met betrokkenen Wijzigingen Wijzigingsprocedure Notificatie van wijzigingen Geschillenbeslechting Van toepassing zijnde wetgeving Overige juridische voorzieningen Overige bepalingen Bijlage 1 Definities Bijlage 2 Afkortingen Bijlage 3 Overzicht wijzigingen /61

7 1 Introductie op het Certification Practice Statement De KPN BAPI Certificate Policy (verder BAPI CP) is een afsprakenstelsel voor het mogelijk maken van het generiek en grootschalig gebruik van Digital Signature certificaten (DS-certificaten) en Encryptie Certificaten (E-certificaten) ten behoeve van elektronische communicatie met de Belastingdienst via het BAPI-kanaal. De BAPI CP bevat eisen die KPN aan zichzelf oplegt. De BAPI CP is gebaseerd op de Europese standaard van de European Telecommunication Standardization Institute ETSI TS Policy requirements for certification authorities issuing public key certificates. KPN Corporate Market B.V. is eigenaar van de BAPI CP en treedt als enige Certificatiedienstverlener (of kortweg, als CSP) op binnen die CP. In navolgende wordt steeds gesproken over KPN. Hiermee wordt bedoeld KPN als Certificatiedienstverlener, als onderscheid met de andere diensten die KPN levert. Als bedoeld wordt KPN Corporate Market B.V., dan wordt die benaming expliciet gebruikt. Één van de eisen in de BAPI CP is dat de CSP zijn practices beschrijft in een zogenaamd BAPI Certification Practice Statement (verder: BAPI CPS). Het nu voorliggende document is het BAPI CPS van KPN. Dit document beschrijft de practices van KPN binnen de BAPI CP. Dit hoofdstuk bevat een introductie op dit BAPI CPS document. Het behandelt in het kort een aantal belangrijke aspecten van dit document. 1.1 Overview De indeling van deze BAPI CPS is zoveel mogelijk conform de RFC3647 standaard (voluit: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework ) van de Internet Engineering Task Force). Voor meer informatie zie Doelgroep en leeswijzer De doelgroep van dit BAPI CPS wordt gevormd door: - Abonnees van KPN, vertegenwoordigd door hun Bevoegde Vertegenwoordigers; - eventueel Gemachtigden; - Vertrouwende Partijen Doel van het BAPI CPS Het BAPI CPS is de beschrijving van de wijze waarop KPN haar certificatiedienstverlening binnen de BAPI CP vorm geeft. Het BAPI CPS bevat onder meer een beschrijving van de procedures die KPN hanteert bij de aanmaak, de uitgifte en het intrekken van BAPI Certificaten. 7/61

8 1.1.3 Verhouding tussen BAPI CP en BAPI CPS De BAPI CP beschrijft welke eisen er aan aanmaak, uitgifte en gebruik van een BAPI Certificaat worden gesteld. KPN is eigenaar van en verantwoordelijk voor de BAPI CP. Deze BAPI CP wordt onderhouden door KPN ( Het BAPI CPS beschrijft op welke wijze KPN invulling geeft aan deze eisen en daarmee aan deze eisen tegemoet komt Positionering van het BAPI CPS Er worden binnen BAPI CP twee typen Certificaten uitgegeven door de KPN te weten de DS- en de E-certificaten (ook wel genoemd Envelopcertificaat DS en Envelopcertificaat E). Beide typen Certificaten hebben hetzelfde betrouwbaarheidsniveau, conform het BAPI CP. Om die reden is het BAPI CPS op beide Certificaten volledig van toepassing Status De datum, waarop de geldigheid van dit BAPI CPS start, staat vermeld op het titelblad van dit BAPI CPS. De BAPI CPS is geldig voor zolang als de KPN dienstverlening voortduurt, dan wel totdat het BAPI CPS wordt vervangen door een nieuwere versie (aan te duiden in het versienummer met +1 bij ingrijpende wijzigingen en +0.1 bij redactionele aanpassingen). 1.2 Documentnaam en Identificatie Formeel wordt dit document als volgt aangeduid: BAPI Certification Practice Statement. In het kader van dit document wordt ze ook wel aangeduid als BAPI CPS. Daar waar van die afkorting sprake is, wordt dit document bedoeld. Dit BAPI CPS kan via de volgende Object Identifier (OID) worden geïdentificeerd: id-cps-kpn-bapi. 1.3 Gebruikersgemeenschap De gebruikersgemeenschap binnen het BAPI CP bestaat uit: de certificatiedienstverlener KPN; Abonnees (en hun Gemachtigden). Het betreft organisatorische entiteiten binnen overheid en bedrijfsleven die ten behoeve van elektronische communicatie met de Belastingdienst via het BAPI-kanaal gebruik willen maken van BAPI DS- en BAPI E-certificaten en de Belastingdienst zelf; Vertrouwende Partijen. Dit betreft voornamelijk (onderdelen van de) Belastingdienst, maar ook de eerder genoemde Abonnees zullen als zij berichten van de Belastingdienst ontvangen Vertrouwende Partij zijn. 8/61

9 Voor een beschrijving van deze begrippen wordt verwezen naar bijlage 1 Definities en bijlage 2 Afkortingen. In het verlengde van de BAPI CP zijn ook de KPN Bijzondere Voorwaarden BAPI Certificaten (verder: BAPI Bijzondere Voorwaarden) van toepassing. Zie daarvoor de Elektronische Opslagplaats van KPN, De BAPI Bijzondere Voorwaarden zijn bindend voor alle bij de certificatiedienstverlening betrokken partijen. In geval van strijd tussen het BAPI CPS en de Bijzonder Voorwaarden genieten laatstgenoemde voorrang. 1.4 Certificaatgebruik De certificaten die KPN uitgeeft, worden uitgegeven in overeenstemming met BAPI CP Certificaatgebruik KPN geeft een tweetal soorten Certificaten uit aan Abonnees. Deze certificaten hebben elk een eigen functie, hebben ook elk een eigen policy. Deze policies worden uniek geïdentificeerd door een OID. Het betreft: 1. Digital Signature Certificaten (de DS-certificaten, Handtekeningcertificaten) 2. Encryptie Certificaten (de E-certificaten, Vertrouwelijkheidcertificaten) DS-certificaten zijn bedoeld om elektronische documenten te voorzien van een Digitale Signature [ kpn-corporate-market-tax-cp-signing]. Het KPN BAPI certificaat voorziet in een middel voor elektronische ondertekening van aangifteberichten dat voldoende betrouwbaar is zoals bedoeld in de Wet elektronische handtekening, een en ander gelet op de functie van ondertekening van de desbetreffende berichten en de eisen die ingevolge de belastingwetgeving aan die ondertekening worden gesteld. E-certificaten zijn bedoeld voor het beschermen van de vertrouwelijkheid van gegevens die in elektronische vorm worden uitgewisseld tussen machine-machine communicatie (applicatie Abonnee applicatie Belastingdienst). Dit betreft zowel de uitwisseling van gegevens tussen personen onderling als tussen personen en geautomatiseerde middelen [ kpncorporate-market-tax-cp-encryption]. 1.5 CA-model In de hiërarchie van de BAPI CP is de KPN Corporate Market Tax Root CA G2 de hoogste CA. Deze CA is eigendom van KPN en is een self-signed CA. De hiërarchie ziet er verder als volgt uit. 9/61

10 1.6 Beheer van het BAPI CPS Het BAPI CPS van KPN wordt beheerd door een specifiek daartoe geïnstalleerde Policy Management Authority (PMA). Informatie met betrekking tot dit BAPI CPS en commentaar daarop kan worden gericht aan: KPN Corporate Market B.V. T.a.v. KPN Trusted Services, Policy Management Authority Postbus HN Apeldoorn Commerciële vragen betreffende BAPI Certificaten en daarmee verwante dienstverlening kunnen worden gericht aan: Overige documenten die verband houden met de dienstverlening rondom BAPI Certificaten van KPN zijn te vinden in de Elektronische Opslagplaats De BAPI Certificaten zijn een dienst van KPN. Voor meer informatie over KPN, wordt verwezen naar de Elektronische Opslagplaats. 1.7 Uitbesteding van werkzaamheden KPN, kan in overleg met de Belastingdienst, bepaalde ondersteunende werkzaamheden uitbesteden aan onderaannemers. Ook de uitbestede werkzaamheden voldoen aan de eisen van deze Certificate Policy. KPN is en blijft eindverantwoordelijk voor die uitbesteding en daarmee ook voor het voldoen aan relevante eisen door onderaannemers. 10/61

11 2 Verantwoordelijkheid voor Publicatie en Elektronische Opslagplaats 2.1 Elektronische opslagplaats KPN zorgt voor de beschikbaarheid van relevante informatie in de Elektronische Opslagplaats ( 2.2 Publicatie van CSP-informatie Via de Elektronische Opslagplaats is tenminste het volgende online beschikbaar: 1. Stamcertificaat; 2. certificaatstatusinformatie; a. in de CRL; b. in de Directory Dienst (zie 7); 3. BAPI Bijzondere Voorwaarden; 4. BAPI CPS; 5. BAPI CP; 6. Directory Dienst; 2.3 Publicatie van het Certificaat Certificaten worden gepubliceerd met behulp van een Directory Dienst. Via de Directory Dienst kan het Certificaat worden geraadpleegd door Abonnees en Vertrouwende Partijen. De Directory Dienst is op adequate wijze beveiligd tegen manipulatie en is online toegankelijk. Informatie over de intrekkingstatus is vierentwintig uur per dag en zeven dagen per week te raadplegen. 2.4 Tijdstip of frequentie van publicatie Wijzigingen in CSP-informatie worden, behalve het navolgende in deze paragraaf, gepubliceerd op het moment dat ze zich voordoen of zo spoedig mogelijk daarna en met inachtneming van de bepalingen die daarvoor gelden. Zie bijvoorbeeld daarvoor paragraaf 9.12 Wijzigingen. KPN stelt een Certificate Revocation List (CRL) ter beschikking. Een actuele CRL wordt twee maal per 24 uur gepubliceerd (rond 00:00 CET en 12:00 CET, met automatische aanpassing van de zomertijd en wintertijd). De CRL heeft een geldigheid van 24 uur. 11/61

12 2.5 Toegang tot gepubliceerde informatie De gegevens in de Elektronische Opslagplaats zijn publiek van aard en vrij toegankelijk. De Elektronische Opslagplaats kan vierentwintig uur per dag en zeven dagen per week worden geraadpleegd. De Elektronische Opslagplaats is beschermd tegen het aanbrengen van ongeautoriseerde wijzigingen. Voor het geval van het optreden van systeemdefecten of andere factoren die de beschikbaarheid van de Elektronische Opslagplaats negatief beïnvloeden is er een passende set van continuïteitsmaatregelen gerealiseerd om ervoor te zorgen dat de CRL binnen 4 uur en de overige onderdelen van de Elektronische Opslagplaats binnen 24 uur weer bereikbaar zijn. Een voorbeeld van een dergelijke maatregel is het hebben gerealiseerd van een uitwijklocatie en -scenario in combinatie met het regelmatig testen van de functionaliteit ervan. KPN is niet verantwoordelijk voor de niet-beschikbaarheid van de Elektronische Opslagplaats vanwege omstandigheden waar KPN niet verantwoordelijk voor kan worden gehouden. 12/61

13 3 Identificatie en authenticatie Deze paragraaf beschrijft op welke wijze de identificatie en authenticatie van de Abonnee, voor deze de Bevoegd Vertegenwoordiger, en indien van toepassing, diens Gemachtigde plaatsvindt tijdens de initiële registratieprocedure en welke criteria KPN stelt ten aanzien van de naamgeving. 3.1 Naamgeving Soorten naamformaten De in Certificaten gebruikte namen voldoen aan de X.501 naam standaard. De namen bestaan uit de volgende onderdelen: Attribuut Country (C) Organization (O) Common Name (CN) SerialNumber (SN) Waarde NL Naam van de Abonnee Volledige naam van de Abonnee Serienummer van het Certificaat Noodzaak van betekenisvolle namen Geen nadere bepalingen Anonimiteit of pseudonimiteit Het gebruik van pseudoniemen is binnen de KPN BAPI hiërarchie niet toegestaan Regels voor interpretatie van verschillende naamformaten Deze regels staan beschreven uitgeschreven in het document Koppelvlakspecificaties Certificate Service Providers (CSP s), paragraaf Certificate-request (PKCS#10). Dit document is te vinden op Uniciteit van namen Uniciteit van het namen wordt bereikt door middel van uniciteit van Distinguished Name (DName). Deze DName bestaat uit de volgende onderdelen: C Country Land van vestiging; 13/61

14 O - Organisation naam van de Abonnee, gevolgd door het 10-cijferig KvK registratienummer of ander uniek nummer tussen haakjes; L Location vestigingsplaats en vestigingsadres, gevolgd door een 4-cijferig nummer tussen haakjes; OU (1 e OU-veld) het type Certificaat (DS- of E-certificaat), met een verwijzing naar dit CPS; OU (2 e OU-veld) het dossiernummer (10-cijferig bestaand of door KPN te genereren nummer), gevolgd door de naam van de afdeling (optioneel, bij niet invulling wordt n.v.t. vermeld); CN - Common Name de naam van de Abonnee. Zie voor de volledige specificatie het document Koppelvlakspecificaties Certificate Service Providers (CSP s), paragraaf Certificate-request (PKCS#10) Geschillenbeslechting inzake naam claims In gevallen waarin partijen het oneens zijn over het gebruik van namen, beslist KPN na afweging van de betrokken belangen, voor zover hierin niet wordt voorzien door dwingend Nederlands recht of overige toepasselijke regelgeving Erkenning, authenticatie en de rol van handelsmerken Abonnees dragen de volledige verantwoordelijkheid voor eventuele juridische gevolgen van het gebruik van de door hen opgegeven naam. De naam van een organisatorische entiteit zoals deze wordt genoemd in het uittreksel van het Handelsregister van de Kamer van Koophandel, wordt gebruikt in het Certificaat. KPN is niet gehouden een onderzoek in te stellen naar mogelijke inbreuken op handelsmerken die ontstaan als gevolg van het gebruik van een naam die deel uitmaakt van de in het Certificaat opgenomen gegevens. KPN heeft het recht wijzigingen aan te brengen in naamattributen wanneer deze in strijd blijken met een handelsmerk of met andere rechten van intellectueel eigendom. 3.2 Initiële identiteitsvalidatie Methode om bezit van Private Sleutel aan te tonen Het sleutelpaar, waarvan de Publieke Sleutel wordt gecertificeerd, wordt aangemaakt door het softwarepakket van de Abonnee. Deze software genereert voor de publieke sleutel van de Abonnee een Certificate Signing Request (CSR, PKCS#10), die wordt ondertekend met de bijbehorende private sleutel. Deze CSR wordt als een bijlage met de elektronische aanvraag (mail) meegestuurd. Van de CSR (DER-format) wordt na ontvangst van de mail in de Mail gateway een SHA1 fingerprint berekend. In de achterliggende systemen wordt de ondertekening van de CSR gecontroleerd en 14/61

15 wordt de fingerprint gebruikt om deze te koppelen aan de papieren en ingescande certificaataanvraag Authenticatie van de Abonnee Als een organisatie Abonnee wil worden van KPN dient het het daartoe bestemde elektronische formulier Abonnee Registratie in te vullen (beschikbaar op af te drukken, te ondertekenen en te versturen naar het onderstaande adres. KPN Corporate Market B.V. t.a.v. Afdeling Validatie, BAPI Certificaten Postbus HN Apeldoorn Bij dit formulier is een toelichting gevoegd. Met het formulier dient de Abonnee een aantal bewijsstukken mee te sturen. De gegevens die opgevraagd worden zijn de volgende. Gegevens van de Abonnee, zoals Kamer van Koophandel nummer, handelsnaam en de statutaire naam; Gegevens van de Bevoegd Vertegenwoordiger van de Abonnee, zoals diens naam, geboortedatum en handtekening. Bereikbaarheids- en facturatiegegevens van de Abonnee. Het formulier Abonnee Registratie moet worden ondertekend door de Bevoegd Vertegenwoordiger van de Abonnee. Met ondertekening geeft de Bevoegd Vertegenwoordiger aan het formulier juist, volledig en naar waarheid te hebben ingevuld, akkoord te gaan met de opslag, verwerking en openbaarmaking van de verstrekte gegevens, voor zover relevant voor de BAPI-certificatiedienstverlening, via publicatie in het certificaat en in de directory van KPN; akkoord te gaan met de KPN BAPI Bijzondere Voorwaarden en het BAPI CPS en de algemene leveringsvoorwaarden van KPN. De bewijzen die tegelijk met het formulier aangeleverd moeten worden betreffen: voor de bij de Kamer van Koophandel (verder: KvK) geregistreerde organisaties: uittreksel(s) Kamer van Koophandel (download vanaf de website is voldoende), waaruit het bestaan van de organisatie en de juistheid en volledigheid van diens naam blijkt. Dit uittreksel mag maximaal 2 maand oud zijn; bewijs van de bevoegdheid van de Bevoegd Vertegenwoordiger om de Abonnee te vertegenwoordigen (doorgaans blijkt dat uit hetzelfde uittreksel); voor de niet bij de KvK geregistreerde organisaties geldt dat die op een andere wijze dienen aan te tonen dat ze bestaan, dat de op het formulier opgegeven naam inderdaad volledig en juist is en dat de Bevoegd Vertegenwoordiger inderdaad bevoegd is. Dat kan bijvoorbeeld met een oprichtingsdocument, een instellingsbesluit of een Algemene Maatregel van Bestuur 15/61

16 zijn (Staatscourant) zijn. De bevoegdheid van de Bevoegd Vertegenwoordiger kan bijvoorbeeld blijken uit een benoemingsbesluit. kopie van het identiteitsbewijs van de Bevoegd Vertegenwoordiger, dat voldoet aan de eisen uit de Wet op de identificatieplicht (verder: Wid); indien gewenst een Machtigingsformulier (volmacht). Met deze volmacht machtigt de Bevoegde Vertegenwoordiger om al hetgeen te doen verrichten wat noodzakelijk is om KPN BAPI certificaten te verkrijgen en te beheren. Een Bevoegd Vertegenwoordiger mag iemand uit zijn organisatie machtigen om al hetgeen te verrichten wat noodzakelijk is om KPN certificaten te verkrijgen en te beheren voor de Abonnee. Dit kan met behulp van een machtigingsformulier. De exacte specificaties van dit formulier staan beschreven in Koppelvlakspecificaties Certificate Service Providers (CSP s), paragraaf Volmacht. Bij het machtigingsformulier dienen kopieën meegestuurd te worden van de wettelijke identiteitsbewijzen van de Bevoegd Vertegenwoordiger en de Gemachtigde. In het navolgende wordt de term Abonnee gebruikt. Als een Abonnee een activiteit moet uitvoeren, doet de Bevoegde Vertegenwoordiger dit of diens Gemachtigde namens de Abonnee. Dat wordt echter in het vervolg van dit document alleen expliciet aangegeven wanneer dat noodzakelijk is. KPN zal het betreffende formulier en de bijbehorende bewijsstukken in ontvangst nemen en de volledigheid en de juistheid ervan beoordelen, onder andere door externe bronnen te raadplegen. Hierbij wordt functiescheiding toegepast tussen hij/zij die beoordeelt (controle) en hij/zij die beslist (beschikken). Alleen indien het formulier volledig en juist is, zal KPN het formulier goedkeuren, overgaan tot registratie, een abonneenummer toekennen en de Abonnee hierover informeren. Het abonneenummer dient steeds bij de communicatie tussen Abonnee en KPN te worden gebruikt. Alleen indien een organisatie bij KPN is geregistreerd als Abonnee kan het certificaataanvragen indienen bij KPN Authenticatie van persoonlijke identiteit Niet van toepassing Autorisatie van de Gemachtigde De autorisatie van de Gemachtigde om een Certificaat van de organisatie te mogen ontvangen en te gebruiken blijkt uit de ondertekening van het machtigingsformulier door de Bevoegd Vertegenwoordiger van de Abonnee. In de BAPI Bijzondere Voorwaarden is geregeld dat de Abonnee de verplichting heeft om, als er relevante wijzigingen plaats hebben in de relatie tussen Abonnee en Gemachtigde, deze indien mogelijk vooraf en indien vooraf niet mogelijk zo spoedig mogelijk achteraf aan KPN door te geven. Relevante wijzigingen in dit verband kunnen bijvoorbeeld schorsing of beëindiging van het dienstverband zijn. In beginsel wordt een machtingsformulier door een Abonnee ingediend bij het indienen van het Abonnee-aanvraag. 16/61

17 De hiervoor te gebruiken formulieren zijn beschikbaar op Vanzelfsprekend kan een machtiging ook worden ingetrokken of gewijzigd. Hiertoe zijn specifieke formulieren beschikbaar. 3.3 Identificatie en Authenticatie Identificatie en Authenticatie aanvraag BAPI-certificaat De Aangever vraagt een certificaat aan door: - het insturen van een elektronisch verzoek EN - het insturen van een papieren verzoek (een aanvraagformulier). Het elektronisch verzoek bestaat uit twee aan KPN gerichte berichten met in elke bericht een Certificate-request (PKCS#10) als bijlage (attachment), één voor de aanvraag van een vertrouwelijkheidscertificaat (Encryptie) en één voor het authenticatiecertificaat (handtekening / Digital Signature). Deze mails kunnen worden verstuurd naar aanvraag.kpnbapi@managedpki.com. De specificaties voor deze berichten en de bij te voegen CSR s staan vermeld in het document Koppelvlakspecificaties Certificate Service Providers (CSP s) van de Belastingdienst. Wanneer KPN slechts één van beide aanvragen ontvangt neemt KPN binnen één week per contact op met de aanvrager. Bij onvolledig ingevulde gegevens of onjuiste gegevens of bij het ontbreken van bescheiden neemt KPN binnen één week per contact op met de aanvrager. De gegevens die opgevraagd worden zijn: Gegevens van de Abonnee, zoals Kamer van Koophandel nummer, handelsnaam en de statutaire naam; Gegevens van de Bevoegd Vertegenwoordiger van de Abonnee, zoals diens naam; Bereikbaarheidsgegevens van de Abonnee. Indien de de Abonnee een mailadres vermeldt op zijn aanvraag dient dit mailadres te zijn voorzien van het bedrijfsdomein van de Abonnee. Uitsluitend als een organisatie niet beschikt over een bedrijfsdomein voor mag een niet bedrijfsgebonden adres worden gebruikt. Het aanvraagformulier BAPI-certificaat moet worden ondertekend door de Bevoegd Vertegenwoordiger van de Abonnee (of diens gemachtigde). Met ondertekening geeft de Abonnee aan: dat de Certificaataanvraag juist, volledig en naar waarheid te hebben ingevuld, akkoord te gaan met de openbaarmaking van de verstrekte gegevens, voor zover relevant voor de BAPI-certificatiedienstverlening, via publicatie in het certificaat en in de directory van KPN; akkoord te gaan met de KPN BAPI Bijzondere Voorwaarden en het BAPI CPS en de algemene leveringsvoorwaarden van KPN. 17/61

18 3.3.2 Identificatie en Authenticatie bij verlenging / vernieuwing (versnelde procedure) Een certificaat verlengen / vernieuwen is in feite niets anders dan een nieuw certificaat aanvragen. In de volgende gevallen is het echter mogelijk gemaakt om een versnelde procedure te doorlopen. Dat kan indien: er niets is veranderd in de gegevens die in de Distinguished Name zijn opgenomen of alleen de vestigingsplaats (Locality) is gewijzigd, en de Abonnee beschikt over een nog geldig BAPI DS-certificaat. In dat geval hoeft de Abonnee geen schriftelijk aanvraagformulier met bijlagen op te sturen, maar kan het een elektronisch verlengingsverzoek aan KPN richten. Dit elektronisch verlengingsverzoek bestaat uit twee aan KPN gerichte berichten met in elke bericht een ondertekend Certificaterequest (PKCS#10) als bijlage (attachment), één voor de aanvraag van een E-certificaat en één voor het DS-certificaat. De aanvragen kunnen worden verstuurd naar: aanvraag.kpnbapi@managedpki.com en dienen te worden voorzien van de subject toevoeging [VERL] en ondertekend met het nog geldige BAPI DS-Certificaat. In het geval dat het DS-certificaat niet meer geldig is en/of andere gegevens dan de vestigingsplaats (Locality) in de Distinguished Name dienen te worden aangepast, dient de procedure Certificaat aanvragen te worden gevolgd. De Abonnee is verantwoordelijk voor het tijdig aanvragen van een geldig Certificaat. KPN zal echter de Abonnee, bij wijze van service, uiterlijk 6 (zes) weken voor het beëindigen van de geldigheidsduur van het Certificaat via een standaard hierover informeren. In dit signaalbericht zal o.a. zijn opgenomen: dat het certificaat tijdig verlengd moet worden, omdat: o verlopen certificaten niet kunnen worden gebruikt voor elektronische aangiften; o elektronisch verlengen niet mogelijk is na het verstrijken van de geldigheid van het certificaat; een verwijzing naar de rechten en plichten van de Abonnee. dat de Abonnee de instructies bij het software-pakket dient te volgen. De contactgegevens van de Abonnees kunnen zijn verouderd, waardoor er geen garantie is dat het door KPN verstuurde signaalbericht daadwerkelijk aankomt Identificatie en Authenticatie bij het vernieuwen van het sleutelmateriaal Niet van toepassing Identificatie en Authenticatie bij routinematige vernieuwing van het certificaat Het BAPI CA-Certificaat en het er onderliggende sub-ca certificaat worden niet routinematig vernieuwd. Beide certificaten worden (indien relevant) vernieuwd rond 3 jaar voor het verstrijken van diens levensduur van 15 jaar. Dat zal zijn voor Vernieuwen van deze Certificaten zal volgens een strikte procedure gaan. 18/61

19 KPN biedt geen mogelijkheid tot routinematige vernieuwing van BAPI Certificaten. Een verzoek tot vernieuwing zal worden behandeld als een verzoek voor een nieuw certificaat. Maar KPN biedt wel de mogelijkheid het aanvragen van nieuwe certificaten versneld uit te voeren (zie paragraaf 3.3.2) Identificatie en Authenticatie bij vernieuwing van het Certificaat na intrekking Ingetrokken Certificaten worden niet vernieuwd. 3.4 Identificatie en Authenticatie bij verzoeken tot intrekking In paragraaf 4.9 Intrekking en opschorting van certificaten is beschreven wie een verzoek tot intrekking mogen indienen. Alleen de Abonnee mag/kan een verzoek tot intrekking van een Certificaat indienen. Dit kan elektronisch/online gebeuren via de website van KPN ( Om te kunnen overgaan tot intrekking dient de Abonnee gebruik te maken van het dossiernummer en de daarbij behorende intrekkingscode. Het dossiernummer en de bijbehorende intrekkingscode wordt verstuurd per gereedmeldbrief naar de Abonnee. KPN is eveneens gerechtigd tot intrekking over te gaan indien (zie paragraaf 4.9.2). 19/61

20 4 Operationele eisen certificaatlevenscyclus 4.1 Certificaataanvraag Wie kan een Certificaataanvraag indienen In beginsel kan alleen de Bevoegd Vertegenwoordiger van de Abonnee een Certificaataanvraag indienen. Indien gewenst kan de Bevoegd Vertegenwoordiger iemand machtigen om al hetgeen te doen verrichten wat noodzakelijk is om KPN BAPI certificaten te verkrijgen en te beheren Verantwoordelijkheden en verplichtingen De verplichtingen en verantwoordelijkheden van betrokkenen, KPN, Abonnee en Vertrouwende Partijen zijn beschreven in de KPN BAPI Bijzondere Voorwaarden Verantwoordelijkheden en verplichtingen van de CSP KPN is eindverantwoordelijk voor de gehele BAPI certificatiedienstverlening en garandeert tegenover Abonnees en Vertrouwende Partijen dat het zich zal houden aan de BAPI CP, de BAPI Bijzondere Voorwaarden en het BAPI CPS Verantwoordelijkheden en verplichtingen van de Abonnee De Abonnee is verantwoordelijk voor het correct aanleveren van alle gegevens benodigd voor het aanmaken en leveren van certificaten en voor het correcte gebruik van die certificaten. De Abonnee garandeert tegenover KPN en Vertrouwende Partijen dat het zich zal houden aan de BAPI Bijzondere Voorwaarden en het BAPI CPS Verantwoordelijkheden en verplichtingen van de Gemachtigde De Gemachtigde, als beheerder van het Certificaat dat namens de Abonnee is aangevraagd, is verantwoordelijk voor het correct beheer en gebruik van die certificaten. De Gemachtigde garandeert tegenover KPN, de Abonnee en Vertrouwende Partijen dat hij/zij zich zal houden aan de BAPI Bijzondere Voorwaarden en het BAPI CPS Verantwoordelijkheden en verplichtingen van de Vertrouwende Partij De Vertrouwende Partij is verantwoordelijk voor het op correcte wijze vertrouwen op een Certificaat en garandeert tegenover KPN en de Abonnee dat het zich zal houden aan de BAPI Bijzondere Voorwaarden en het BAPI CPS. 20/61