Certification Practice Statement (CPS) voor Elektronisch Gewaarmerkt Document (EGD) uitgegeven door KvK Nederland namens KvK's

Transcriptie

1 Certification Practice Statement (CPS) voor Elektronisch Gewaarmerkt Document (EGD) uitgegeven door KvK Nederland namens KvK's Versie Datum Auteur Opmerking februari 2004 KvK Nederland Eerste definitieve versie augustus 2004 KvK Nederland Tweede definitieve versie juni 2005 KvK Nederland Derde definitieve versie januari 2006 KvK Nederland Vierde definitieve versie juni 2006 KvK Nederland Vijfde definitieve versie mei 2007 KvK Nederland Zesde definitieve versie juni 2009 KvK Nederland, Max Bouts KPN vervangen door Getronics maart 2010 KvK Nederland, M. van Bommel Update Hoofdstuk 7 Voorwoord In toenemende mate bestaat er binnen de maatschappij de behoefte aan elektronische communicatie en dienstverlening. De vraag naar elektronische afhandeling van transacties neemt toe. Klanten hoeven zich niet meer fysiek te melden bij transactiepartners en kunnen gebruiksvriendelijk vanaf de eigen werkplek transacties uitvoeren. Een absolute voorwaarde voor een volwaardige en volledige elektronische dienstverlening, is een betrouwbaar mechanisme dat kan zorgen voor dezelfde waarborgen die op dit moment in de papieren wereld gelden. Elektronische handelingen vragen om identiteitsvaststelling van de betrokkenen, wilsverklaring van partijen en de vertrouwelijkheid van de communicatie tussen transactiepartners. Door het gebruiken van digitale certificaten die worden uitgegeven binnen een Public Key Infrastructure (PKI) kan aan deze waarborgen worden voldaan. De heeft ervoor gekozen om Elektronisch Gewaarmerkte Documenten (EGD), waaronder Elektronisch Gewaarmerkte Uittreksels (EGD) op verzoek aan organisaties of andere geïnteresseerden ter beschikking te stellen. Doelstelling van de EGD-dienstverlening is om de Afnemer/Ontvanger (Vertrouwende Partij) van het Elektronisch Gewaarmerkt Document in staat te stellen op een betrouwbare wijze via het Internet een document te ontvangen. Hiervoor wordt een elektronische handtekening op het document geplaatst waardoor de Afnemer/Ontvanger de zekerheid heeft dat het document afkomstig is van de KvK Nederland en dat het tijdens transport niet is veranderd. De KvK Nederland garandeert daarnaast dat de inhoud van het EGD overeenkomt met de gegevens van het uittreksel die in het handelsregister zijn bijgewerkt tot de op het EGD vermelde datum en tijdstip. Pagina 1 van 49

2 Hiervoor wordt gebruik gemaakt van een private sleutel om de elektronische handtekening te plaatsen en een Eindgebruikercertificaat (met publieke sleutel behorende bij private sleutel) om de authenticiteit en integriteit van het EGD vast te stellen. De private sleutel en elektronische handtekening worden gebruikt in naam van de gemandateerde functionaris binnen de KvK Nederland die namens de Kamers Van Koophandel en Fabrieken (KvK s) het mandaat heeft gekregen om Elektronisch Gewaarmerkt Uittreksels digitaal te ondertekenen. Om aan Afnemers/Ontvangers duidelijkheid te verschaffen over de mate van betrouwbaarheid van de elektronische handtekening en bijbehorende Eindgebruikercertificaat (hierna ook wel te noemen Certificaat) is onderhavige Certification Practice Statement (CPS) opgesteld. Een CPS beschrijft de door een Certification Service Provider (CSP) gevolgde procedures en getroffen maatregelen ten aanzien van alle aspecten van de dienstverlening. Het CPS beschrijft daarmee op welke wijze de CSP voldoet aan de eisen zoals opgesteld in de van toepassing zijnde Certificate Policy (CP). Een CP beschrijft een benoemde verzameling regels die de toepasbaarheid van een Certificaat aangeeft voor een bepaalde gemeenschap en/of toepassingsklasse met gemeenschappelijke beveiligingseisen. Met behulp van een CP en bijbehorend CPS kunnen de Eindgebruiker, Afnemers en/of Vertrouwende Partijen bepalen hoeveel vertrouwen zij kunnen stellen in het verband tussen de publieke sleutel (die op de Certificaat is geplaatst) en de identiteit van de houder van de publieke sleutel. Oftewel in welke mate kan worden vertrouwd dat het Certificaat (met daarin opgenomen de publieke sleutel) ook daadwerkelijk eigendom is van de gemandateerde functionaris binnen de KvK Nederland en dat met dat Certificaat de geplaatste elektronische handtekening betrouwbaar te verifiëren valt. Pagina 2 van 49

3 Inhoudsopgave Voorwoord Introductie Achtergrond Inleiding Doel van Certification Practice Statement Positionering van de CPS Opzet van dit document Definities en afkortingen Gebruikersgemeenschap en toepassingsgebied Gebruikersgemeenschap Toepassingsgebied Contactgegevens Algemene bepalingen Verplichtingen Verplichtingen van de CSP Verplichtingen van de (Gedelegeerde) Eindgebruiker (Certificaathouder) Verplichtingen van de Vertrouwende Partijen Aansprakelijkheid Financiële verantwoordelijkheid en aansprakelijkheid Interpretatie en handhaving Van toepassing zijnde wetgeving Geldigheid en toepasselijkheid Geschillenbeslechting Tarieven Publicatie en elektronische opslagplaats Conformiteitbeoordeling Conformiteitbeoordeling en certificatie van de CSP Te ondernemen acties als resultaat van tekortkomingen Rapportage van bevindingen Intellectuele eigendomsrechten Identificatie en authenticatie Naamformaat Authenticatie van persoonlijke identiteit Autorisatie van de Certificaathouder Authenticatie van intrekkingverzoeken Operationele eisen aan Eindgebruikercertificaat Aanvraag van Certificaten Uitgifte van Certificaten Acceptatie van Certificaten Intrekking van Certificaten Omstandigheden die leiden tot intrekking Wie mag een verzoek tot intrekking doen Procedure voor een verzoek tot intrekking CRL-uitgiftefrequentie Procedures ten behoeve van beveiligingsaudits Vastlegging van gebeurtenissen Bewaartermijn van audit-log Bescherming van audit-log Audit-log back-up procedure Archivering van documenten Vernieuwen van sleutels Compromittering en Continuïteit Beëindiging CSP-dienstverlening Pagina 3 van 49

4 5 Fysieke, procedurele en personele beveiliging Fysieke beveiliging Fysieke beveiliging met betrekking tot CSP Fysieke beveiliging met betrekking tot RA(-certificaat) Fysieke beveiliging met betrekking tot CA(-certificaat) Procedurele beveiliging Vertrouwelijke functies en functiescheiding Beheer en beveiliging Personele beveiliging Technische beveiliging Genereren en installeren van sleutelparen Genereren van sleutelparen Plaatsing van private sleutel Publieke sleutel en Certificaat Sleutellengten Archivering private sleutel Private sleutel bescherming CA en RA Standaarden voor cryptografische modulen Archivering private sleutel Vernietiging private sleutel Gebruiksduur publieke en private sleutels Logische toegangsbeveiliging van KvK Nederland CSP computers Certificaat- en CRL-profielen Certificaatprofielen CRL-profielen Velden CRL en CRL entry extensions Specificatie van onderhoud op CPS Soorten wijzigingen in de CPS Onderdelen die kunnen wijzigen zonder bekendmaking Onderdelen die kunnen wijzigen waarbij bekendmaking verplicht is Publicatie op Internet Goedkeuringsprocedure voor wijzigingen van de CPS Bijlage A: Afkortingen en definities Pagina 4 van 49

5 1. Introductie 1.1. Achtergrond Inleiding In de papieren wereld worden uittreksels uit het Handelsregister verstrekt door een Kamer van Koophandel (KvK). Bij uitgifte wordt gebruik gemaakt van beveiligd papier en wordt het document ondertekend door een tekenbevoegde functionaris binnen de desbetreffende KvK. Voor de elektronische variant (met behulp van Internet) kunnen Afnemers vanaf elke willekeurige locatie met een internetaansluiting uittreksels aanvragen via de site van de Kamers van Koophandel ( Hiervoor is een toegangscode en wachtwoord nodig die eveneens on-line kan worden aangevraagd. De aangevraagde uittreksels worden in PDF-formaat per afgeleverd. Deze elektronische dienstverlening wordt namens de KvK s uitgevoerd door de KvK Nederland. Om een elektronisch uittreksel te waarmerken kan met behulp van Public Key Infrastructure-technieken een elektronische handtekening worden gezet op of over een document met behulp van de private sleutel van degene namens wie het document wordt uitgebracht. Om als ontvanger van een dergelijk Elektronisch Gewaarmerkte Uittreksel (EGD) er zeker van te zijn dat het document afkomstig is van de KvK Nederland (authenticiteit) en dat het document eveneens tijdens transport niet gewijzigd is (integriteit), dient de elektronische handtekening geverifieerd te worden. Dit wordt gedaan door middel van de publieke sleutel van degene namens wie het document wordt uitgegeven. Deze publieke sleutel bevindt zich op een Certificaat (Eindgebruikercertificaat). Het Certificaat bevat informatie over de eigenaar, wijze van uitgifte en beveiligingsniveau van gehanteerde sleutels. Het Eindgebruikercertificaat wordt met het Gewaarmerkt document meegezonden. KvK Nederland CSP is een certificatiedienstverlener die Eindgebruikercertificaten uitgeeft binnen de KvK Nederland-organisatie. KvK Nederland CSP heeft daarbij het uitoefenen van de Registration Authority (RA) in eigen beheer. Voor de uitoefening van de Certification Authority maakt KvK Nederland gebruik van de PKIarchitectuur van Verisign, op basis van een contract met de Nederlandse wederverkoper van deze architectuur (GETRONICS). KvK Nederland CSP onderkent slechts één type certificaat, namelijk een Certificaat voor de elektronische handtekening (onweerlegbaarheid). Op de dienstverlening van KvK Nederland CSP zijn de Algemene Voorwaarden Online Informatieverstrekking KvK en de Vertrouwende Partij Overeenkomst van toepassing ( Deze voorwaarden zijn voor alle betrokken partijen (Afnemers, Certificaathouder en Vertrouwende Partijen) bindend. Overige documenten die verband houden met de dienstverlening van KvK Nederland CSP zijn te vinden op Pagina 5 van 49

6 Doel van Certification Practice Statement In onderhavige Certification Practice Statement (CPS) wordt beschreven welke waarborgen aanwezig zijn om de betrouwbaarheid van de verificatie van de elektronische handtekening te garanderen en aan te geven waarvoor het Eindgebruikercertificaat (die de onweerlegbaarheid van de digitale ondertekening waarborgt) kan worden gebruikt Positionering van de CPS Dit CPS is enkel en alleen van toepassing voor de CSP-activiteiten van de KvK Nederland met betrekking tot het aanmaken en gebruiken van het Eindgebruikercertificaat (en bijbehorende private en publieke sleutel) van de gemandateerde functionaris binnen de KvK Nederland. Het CPS beschrijft daarmee op welke wijze de CSP voldoet aan de eisen zoals opgesteld in de van toepassing zijnde Certificate Policy (CP). Dit CPS is te vinden via de website van de KvK s ( Opzet van dit document De indeling van dit CPS is gebaseerd op het RFC2527, PKIX raamwerk van de Internet Engineering Task Force (IETF). Aangezien EGD slechts enkele deelfacetten van PKI gebruikt (ondertekenen en verifiëren van elektronische handtekening met behulp van private en publieke sleutel) wordt waar nodig van deze de facto - standaard afgeweken. Alhoewel de KvK Nederland CSP de grootste zorg heeft besteed aan onderhavig CPS is het mogelijk dat onjuistheden en onvolkomenheden voorkomen. KvK Nederland aanvaardt geen enkele aansprakelijkheid voor schade als gevolg van eventuele onjuistheden en of onvolkomenheden in onderhavig document Definities en afkortingen Voor de leesbaarheid zullen zoveel mogelijk de gangbare PKI-afkortingen in dit document gebruikt worden. In bijlage A is de volledige bewoording en bijbehorende definitie te vinden. Elk af te korten woord zal echter bij eerste gebruik voluit worden geschreven en vervolgens worden afgekort conform gangbare PKI-afkortingen zoals gehanteerd door de PKIoverheid ( ) Gebruikersgemeenschap en toepassingsgebied Gebruikersgemeenschap Als eerste geeft onderstaande figuur een overzicht van de PKI-hiërarchie en de verschillende PKI-onderdelen waarvan de EGD-dienstverlening gebruik maakt. Vervolgens volgt een beschrijving van de PKI-onderdelen uit het figuur die binnen de CSP-dienstverlening van de KvK Nederland worden ingevuld (voor bijbehorende definities wordt verwezen naar de bijlage). Tenslotte zal worden aangegeven waaruit de gebruikersgemeenschap van onderhavig CPS bestaat. Pagina 6 van 49

7 Verisign Root CA Getronics CA KvK Nederland RA Certification Service Provider (CSP) KvK Nederland CA Certificaathouder gemandateerde functionaris KvK EGD EGD EGD Vertrouwende Partij b Vertrouwende Partij a Figuur 1 : Overzicht van PKI-hiërarchie en PKI-onderdelen Certification Service Provider (CSP) De CSP is de entiteit die door de Eindgebruiker(s) wordt vertrouwd voor het uitgeven, intrekken en beheren van Certificaten en Certificate Revocation List (CRL). De CSP is verantwoordelijk voor de CSP-dienstverlening, maar kan bepaalde deelactiviteiten uitbesteden aan derden. De KvK Nederland vervult binnen EGDdienstverlening de rol van CSP. Voor het uitgeven en beheren van Certificaten en bijbehorende CRL wordt gebruik gemaakt van de PKI-architectuur van VeriSign met behulp van het online product OnSite, dat in Nederland wordt aangeboden (wederverkoper) door GETRONICS. GETRONICS is overigens niet alleen wederverkoper; zij bevindt zich eveneens in de chain-of-trust. De chain-oftrust is een PKI technische maatregel ter waarborging van de betrouwbaarheid van het uitgegeven Eindgebruikercertificaat. Certification Authority (CA) Binnen EGD-dienstverlening wordt gebruik gemaakt van de PKI-hiërarchie klasse 2 1 client certificaten van VeriSign met behulp van de online-toepassing OnSite. Deze bestaat uit de Root CA van VeriSign en voor Nederlandse Afnemers/gebruikers wordt gebruik gemaakt van de onderliggende CA van Getronics. OnSite biedt organisaties de mogelijkheid om PKI-certificaten uit te geven zonder zelf over een fysieke PKIarchitectuur te beschikken. Deze PKI-infrastructuur wordt als het ware gehost bij een externe partij. Deze hosting-dienst wordt in Nederland door Getronics weder verkocht namens de leverancier Verisign. 1 De mate van zekerheid die een klasse 2 client certificaat biedt is beperkt; met klasse 2 client certificaten kan de identiteit van een gebruiker adequaat maar niet onomstotelijk worden vastgesteld, aangezien voor controle door de RA volstaan kan worden met verificatie van personeelsgegevens. Het is voor een klasse 2 client certificaat niet noodzakelijk dat de aanvrager persoonlijk verschijnt bij de RA (zie paragraaf 3.2 voor getroffen compenserende maatregelen). Pagina 7 van 49

8 Het uitgeven van de Certificaten aan de Eindgebruiker (Certificaathouder) wordt binnen de CSP KvK Nederland uitgevoerd door de CA. De CA is een PKI-onderdeel binnen de CSP-dienstverlening dat onder de verantwoordelijkheid van de CSP wordt uitgevoerd. De CA verzorgt de productie en publicatie van de aangevraagde Certificaten, nadat door de (L)RA de identiteit van de Aanvrager is vastgesteld. Local Registration Authority (L)(RA) De (lokale) RA zorgt voor de verwerking van certificaataanvragen en alle daarbij behorende taken, waarbij controle van de identiteit en autorisatie (goedkeuring) van de Certificaathouder de belangrijkste zijn. De RA geeft zelf geen Certificaten uit, maar geeft de CA opdracht tot het genereren en intrekken van Certificaten. De RA bevindt zich eveneens binnen de KvK Nederland-organisatie. Eindgebruiker/Certificaathouder De gemandateerde functionaris binnen de KvK Nederland wordt binnen de EGD-dienstverlening beschouwd als de Eindgebruiker. De Eindgebruiker is tevens formeel Certificaathouder aangezien het Certificaat de identiteit van de gemandateerde functionaris binnen de KvK Nederland garandeert. Alle sleutelpaaractiviteiten (private en publieke sleutel) en het aanvragen en installeren van Certificaten zijn overgedragen aan een Gedelegeerde Eindgebruiker. Het overdragen vindt jaarlijks formeel plaats door middel van het ondertekenen van een Protocol door de gemandateerde functionaris binnen de KvK Nederland. Vertrouwende Partij De natuurlijke of rechtspersoon die een Elektronisch Gewaarmerkt Document bestelt en/of ontvangt, dat voorzien is van een Certificaat. Deze CPS is bedoeld voor de Certification Service Provider (CSP) inclusief de Local Registration Authority 2. (L)RA), Eindgebruiker (gemandateerde functionaris binnen de KvK Nederland), Gedelegeerde Eindgebruiker (bevinden zich allen binnen de KvK Nederland), Vertrouwende Partijen (zijnde Afnemers en ontvangers van EGD's) en overige geïnteresseerden Toepassingsgebied De KvK Nederland biedt ondernemers en andere belanghebbende de mogelijkheid om Elektronisch Gewaarmerkte Documenten te ontvangen. Om de integriteit tijdens transport en de authenticiteit van verstrekker te waarborgen wordt gebruik gemaakt van PKI-technologie. Hiervoor wordt het document digitaal ondertekend met behulp van de private sleutel van de Eindgebruiker. Vervolgens kan een Vertrouwende Partij met behulp van de KvK Sign & Validate Insteekmodule de elektronische handtekening verifiëren. Hierbij wordt gebruik gemaakt van het Eindgebruikercertificaat waarop zich de publieke sleutel van de Eindgebruiker bevindt. Het gebruik van Certificaten die worden uitgegeven onder dit CPS is beperkt tot het vast stellen dat het Elektronisch Gewaarmerkt Document daadwerkelijk afkomstig is van de KvK Nederland en tijdens transport niet is gewijzigd. Daarnaast garandeert de KvK Nederland dat, in geval van een Elektronisch Gewaarmerkt Uittreksel, de inhoud van het elektronisch gewaarmerkt document overeenkomt met de gegevens van het uittreksel die in het handelsregister zijn bijgewerkt tot de op het EGD vermelde datum en tijdstip. 2 Voor de leesbaarheid wordt in het vervolg van dit document de term RA gehanteerd voor de Local Registration Authority binnen de KvK Nederland. Pagina 8 van 49

9 In het onderhavige CPS wordt onder Elektronisch Gewaarmerkt Document verstaan: Elektronisch Gewaarmerkt Uittreksel (EGD) Elektronisch Gewaarmerkte Jaarrekening Elektronisch Gewaarmerkte Algemene Voorwaarden Elektronisch Gewaarmerkte Inkoopvoorwaarden Elektronisch Gewaarmerkte Aansprakelijkheidsverklaringen Elektronisch Gewaarmerkte Instemmingsverklaringen Overige Elektronisch Gewaarmerkte Documenten Contactgegevens Watermolenlaan 1 (bezoekadres) Postbus 191, 3440 AD Woerden service@kvk.nl website: 2. Algemene bepalingen 2.1. Verplichtingen Verplichtingen van de CSP KvK Nederland zal er redelijkerwijs alles aan doen wat in haar vermogen ligt om te waarborgen dat de gebruikte elektronische handtekening op het EGD dezelfde rechtsgevolgen heeft als een handgeschreven handtekening (de zogenaamde natte handtekening ), conform Wet Elektronische Handtekening (hierna te noemen WEH). Periodiek wordt door een externe IT-Auditor getoetst of KvK Nederland in het kader van haar EGDdienstverlening opereert in lijn met de WEH. Bij het toetsen wordt gebruik gemaakt van een normenkader. Dit normenkader is opgesteld door de externe IT-auditor. KvK Nederland zal er redelijkerwijs alles aan doen wat in haar vermogen ligt om te opereren in overeenstemming met dit normenkader. Doordat KvK Nederland gebruik maakt van klasse 2 client certificaat binnen de Onsite dienstverlening van Getronics zijn bij de identificatie van de (Gedelegeerde) Eindgebruiker tijdens het aanvragen van Certificaten additionele controlemaatregelen (zoals beschreven in paragraaf 3.2) getroffen om aan bovengenoemde normen te voldoen. KvK Nederland CSP garandeert tegenover de Eindgebruiker, Afnemers en Vertrouwende Partijen dat: voldaan zal worden aan de specificaties opgenomen in dit CPS; ze zich zal houden aan de Algemene Voorwaarden Online Informatieverstrekking KvK ( ze zich zal houden aan de Vertrouwende Partij Overeenkomst EGD ( alle gegevens in het Eindgebruikercertificaat, ten tijde van uitgifte, juist en volledig zijn; enkele en alleen de gegevens (sleutels) voor het aanmaken van de elektronische handtekening en voor het verifiëren van deze handtekening complementair kunnen worden gebruikt. Pagina 9 van 49

10 Verplichtingen van de (Gedelegeerde) Eindgebruiker (Certificaathouder) De verplichtingen van de (Gedelegeerde) Eindgebruiker zijn als volgt: Het uitsluitend laten gebruiken van het Certificaat (en geïntegreerde publieke sleutel) voor de daarvoor bestemde toepassing, te weten de mogelijkheid bieden om de elektronische handtekening op door KvK Nederland uitgegeven documenten te verifiëren en de authenticiteit van de eigenaar vast te stellen. Het zorgdragen voor een adequate beveiliging en beheer ten aanzien van de private sleutel. Het onmiddellijk op de hoogte stellen van de CSP (door middel van naar of telefonisch via ) indien een van onderstaande gevallen zich voordoet: de private sleutel van de Certificaathouder is verloren, gestolen, mogelijkerwijs beschadigd; de private sleutel van de Certificaathouder is vermoedelijk verloren of gestolen; het opslagmedium van private sleutel is defect; de gegevens in het Certificaat zijn niet (meer) geldig, als gevolg van wijzigingen in de situatie of door foutieve opgave of verwerking Verplichtingen van de Vertrouwende Partijen De Vertrouwende Partij is zelf verantwoordelijk voor de mate waarin hij besluit op een Certificaat te vertrouwen. Om hem daarbij te ondersteunen is de mogelijkheid gecreëerd om met behulp van een verificatietool het Certificaat en bijbehorende Elektronische Handtekening te verifiëren. In de Vertrouwende Partij Overeenkomst EGD KvK Nederland, die op te vinden is, zijn alle verplichtingen van de Vertrouwende Partij verwoord. Bij installatie van de verificatietool zal deze Vertrouwende Partij Overeenkomst geaccepteerd moeten worden, alvorens de daadwerkelijke installatie kan worden uitgevoerd Aansprakelijkheid De KvK Nederland is in geen geval aansprakelijk voor schade, behoudens als gevolg van opzet of grove schuld van de KvK Nederland. Onder schade wordt tevens begrepen de schade welke wordt veroorzaakt door vertrouwen van een derde partij. Voor de volledige beschrijving van de aansprakelijkheid wordt verwezen naar Algemene Voorwaarden Online Informatieverstrekking KvK en Vertrouwende Partij Overeenkomst (beide documenten zijn te vinden op Financiële verantwoordelijkheid en aansprakelijkheid KvK Nederland heeft met behulp van een aansprakelijkheidsverzekering adequate regelingen getroffen om aansprakelijkheid te dekken, die voortkomen uit haar werkzaamheden en/of activiteiten, waaronder alle handelingen met betrekking tot de dienstverlening rondom EGD Interpretatie en handhaving Van toepassing zijnde wetgeving Op dit CPS en de bijbehorende EGD-dienstverlening is het Nederlands recht van toepassing Geldigheid en toepasselijkheid Als één of meerdere bepalingen van dit CPS bij gerechtelijke uitspraak ongeldig of anderszins niet van toepassing wordt verklaard, laat dit de geldigheid en toepasselijkheid van alle overige bepalingen onverlet. Pagina 10 van 49

11 Geschillenbeslechting Alle geschillen, die naar aanleiding van dit CPS mochten ontstaan, worden door de Nederlandse rechter en naar Nederlands recht berecht en zullen in eerste instantie worden gebracht voor de bevoegde rechter te Utrecht Tarieven Voor het afnemen van EGD s worden kosten in rekening gebracht (zie voor het actuele tarief). Voor het afnemen van de KvK Sign & Validate Insteekmodule (waarmee de elektronische handtekening kan worden geverifieerd) worden geen kosten in rekening gebracht. De insteekmodule is te downloaden via de website van de KvK s ( Voor het afnemen van Acrobat Reader software worden geen kosten in rekening gebracht. Deze software is gratis te downloaden vanaf de site van de leverancier ( of via de website van de KvK s ( Overigens is het ook mogelijk om EGD s te openen met behulp van de full version van Acrobat Publicatie en elektronische opslagplaats Voor informatie over EGD s en de rol van KvK Nederland in dezen als CSP, wordt verwezen naar de website van KvK s ( Deze informatie is voor eenieder raadpleegbaar. Informatie over ingetrokken Certificaten waarmee de elektronische handtekening op het EGD geverifieerd kan worden is via l beschikbaar (deze vindplaats wordt ook wel aangeduid met de term repository). De repository is openbaar en 24 uur per dag, 7 dagen per week beschikbaar, met uitzondering van het uitvoeren van onderhoud. De CRL wordt minimaal éénmaal per 24 uur bijgewerkt. KvK Nederland heeft in een Relying Party Agreement (Vertrouwende Partij Overeenkomst) de voorwaarden voor het gebruik van Certificaten beschikbaar gesteld aan gebruikers en Vertrouwende Partijen. Dit document is te vinden op de website van de KvK ( Conformiteitbeoordeling Conformiteitbeoordeling en certificatie van de CSP Om conform de WEH te blijven opereren moet worden voldaan aan de normen die hieraan gesteld zijn door de externe IT-Auditor (Deloitte). Op basis van dit normenkader worden periodiek door middel van een IT-audit de processen, procedures en systemen rond het digitaal ondertekenen van het document (EGD) alsmede de processen, procedures en systemen rond (de levenscyclus van) het Certificaat op basis van het normenkader beoordeeld. De beoordeling zal middels een IT Audit mededeling openbaar worden gemaakt. Hiermee wordt aangetoond dat het EGD een elektronische handtekening bevat die voldoende betrouwbaar is teneinde dezelfde rechtsgevolgen te hebben als een handgeschreven handtekening. Pagina 11 van 49

12 Als afgeleide hiervan zijn, binnen de scope van de IT-audit, eisen gesteld ten aanzien van de volgende aspecten: certificatiedienstverlener(s); certificaten; de levenscyclus van het certificaat; controlemogelijkheid op de geldigheid van de elektronische handtekening; het elektronisch gewaarmerkt document. Bij het opstellen van het normenkader waaraan EGD wordt getoetst, is rekening gehouden met de wettelijke vereisten en richtlijnen alsmede de gebruikersdoelstellingen die de KvK Nederland aan EGD heeft gesteld. De normen zijn voornamelijk gebaseerd op: de telecommunicatiewet, artikelen 1.1, en 18.17; de Wet Elektronische Handtekening; de Europese Richtlijnen voor elektronische handtekeningen; de normen voor gekwalificeerde certificaten volgens ETSI; de Handelsregistervoorwaarden; de Algemene Voorwaarden Online informatievertrekking KvK; de Vertrouwende Partij Overeenkomst; de Code voor Informatiebeveiliging (BS 7799) Te ondernemen acties als resultaat van tekortkomingen Indien tijdens de periodieke audits door externe IT-auditors tekortkomingen worden geconstateerd, zal KvK Nederland alles in het werk stellen om binnen afzienbare tijd (in elk geval binnen 2 maanden) weer conform het normenkader te opereren Rapportage van bevindingen Het oordeel van de externe IT-auditor zal op de site van de KvK beschikbaar worden gesteld Intellectuele eigendomsrechten Alle intellectuele eigendomsrechten van Eindgebruikercertificaten als ook de bij de EGD-dienstverlening behorende documenten blijven bij de KvK Nederland, ook al zijn ze uitgegeven dan wel verstrekt. Pagina 12 van 49

13 3. Identificatie en authenticatie 3.1. Naamformaat Het subject -veld binnen de Certificaten is samengesteld uit de volgende attributen: (E), Common Name (CN), Organizational Unit (OU), Organization (O) Attribuut Vereisten E = CN = OU = OU = O = certificatenegu@kvk.nl F. van Steenis ( ), waarbij het getal tussen ( ) voor maand en jaar van uitgifte staat Certification Practice Statement is te vinden op EDV EGD Vanuit de verzameling attributen zoals opgenomen in het Certificaat kan de identiteit van de Certificaathouder worden vastgesteld. De KvK Nederland zal toezien op het unieke karakter van alle Eindgebruikercertificaten die zijn uitgegeven. Dat wil zeggen dat een naam die is gebruikt in een uitgegeven Certificaat nooit kan worden toegewezen aan een ander Certificaat. De uniciteit van het Certificaat wordt gewaarborgd door de keuze van het een combinatie van certificaatvelden door de KvK Nederland. In het geval dat tussentijds (naast de maandelijkse regdliere uitgifte) nieuwe Certificaten worden uitgegeven, krijgen deze een extra volgnummer met notatiewijze -02 (waarbij de tussentijdse uitgave start met 02 en per keer met 1 wordt opgehoogd) Authenticatie van persoonlijke identiteit De KvK Nederland maakt gebruik van klasse 2 cliënt certificaten. Om te voldoen aan de WEH (waarin face-toface identificatie wordt vereist) heeft KvK Nederland onderstaande compenserende maatregelen getroffen die ervoor zorgen dat de identiteit en authenticiteit in voldoende mate zijn gewaarborgd: Protocol waarin de Eindgebruiker jaarlijks goedkeuring geeft aan de Gedelegeerde Eindgebruiker om sleutelparen aan te maken en bijbehorende Certificaten aan te vragen; Functiematrix waarin alle rollen met betrekking tot EGD-dienstverlening zijn beschreven en toegewezen aan functionarissen binnen KvK Nederland; Werkinstructies voor het aanmaken van sleutelparen en aanvragen, autoriseren en verwerken van Certificaten ; Logboek waarin alle Certificaat gerelateerde activiteiten per rol worden bijgehouden; Logging van alle handelingen die binnen de OnSite-omgeving van de KvK Nederland (die wordt ingekocht door Getronics) worden uitgevoerd; Onafhankelijke mededeling over getroffen maatregelen door IT-Auditor. Pagina 13 van 49

14 3.3. Autorisatie van de Certificaathouder De Certificaathouder (Eindgebruiker) ondertekent jaarlijks een protocol waarin hij goedkeuring verleent aan de Gedelegeerde Eindgebruiker om namens hem, onder normale omstandigheden, 12 keer per jaar nieuwe Certificaten aan te vragen. Hieronder behoort ook de overgedragen verantwoordelijkheid om bijbehorende sleutelparen aan te maken (en te beheren) en deze te gebruiken voor het plaatsen van een elektronische handtekening op een elektronisch gewaarmerkt document Authenticatie van intrekkingverzoeken Diverse redenen zijn aanwijsbaar om tot intrekking van Certificaten (en bijbehorende private sleutel) over te gaan. Hierbij kan gedacht worden aan oneigenlijk gebruik private sleutel of compromitteren van private sleutel. In principe kan iedereen intrekkingverzoeken indienen. Hiertoe kan een verstuurd worden naar of worden gebeld met klantenservice ( ). KvK Nederland zal de beweegreden voor de goedkeuring van intrekking van een Certificaat vastleggen in het daarvoor bestemde logboek. Afhankelijk van de reden van intrekking kan het voorkomen dat reeds verstrekte EGD s opnieuw worden verstrekt (zie hiervoor paragraaf 4.4). In geval een intrekkingverzoek wordt afgewezen wordt aan de melder bekend gemaakt. 4. Operationele eisen aan Eindgebruikercertificaat 4.1. Aanvraag van Certificaten De Gedelegeerde Eindgebruiker is, middels een door de Eindgebruiker ondertekent protocol, bevoegd om nieuwe Certificaten aan te vragen. Hiertoe wordt met behulp van de toepassing OnSite een Certificate Signing Request (CSR) ingevuld en verstuurd naar de RA. De RA controleert de ingevulde waarden van de aanvraag. Vervolgens stelt de RA vast dat de aanvraag ook daadwerkelijk van de Gedelegeerde Eindgebruiker afkomstig is door het verzoek telefonisch te verifiëren en het protocol in te zien Uitgifte van Certificaten Nadat door de RA is vastgesteld dat de aanvraag ook daadwerkelijk is verstuurd door de Gedelegeerde Eindgebruiker, autoriseert de RA het verzoek. (met behulp van de toepassing OnSite). Na autorisatie wordt door de CA het Certificaat elektronisch ondertekend. Na ondertekening wordt per door de RA het Certificaat naar de Gedelegeerde Eindgebruiker verstuurd Acceptatie van Certificaten Zodra de Gedelegeerde Eindgebruiker het ondertekende Certificaat heeft terugontvangen worden de gegevens in het Certificaat gecontroleerd en wordt de authenticiteit van het Certificaat gecontroleerd. Vervolgens wordt het Certificaat in het EGD Keystore opgeslagen. Daarna worden de gegevens klaargezet om op geplande datum in gebruik genomen te gaan worden. Tenslotte wordt de ontvangst met behulp van een bevestigd aan de RA Intrekking van Certificaten Omstandigheden die leiden tot intrekking Certificaten zullen worden ingetrokken wanneer (een deel) van de informatie in het Certificaat verandert, veroudert of wanneer de private sleutel behorende bij het Certificaat is gecompromitteerd. Een sleutel wordt als gecompromitteerd beschouwd in geval van ongeautoriseerde toegang of vermoede ongeautoriseerde toegang tot private sleutel (zie ook en 3.4). Pagina 14 van 49

15 Daarnaast kunnen Certificaten kunnen worden ingetrokken als maatregel om een calamiteit te voorkomen c.q. te bestrijden. Als calamiteit wordt zeker het compromitteren of het vermeende compromitteren van de private sleutel van de CSP waarmee Certificaten worden ondertekend, beschouwd. Tenslotte kunnen Certificaten worden ingetrokken indien de formeel overgedragen handelingen (vastgelegd in Protocol dat ondertekend is door de gemandateerde functionaris binnen de KvK Nederland) met betrekking tot het Eindgebruikercertificaat en bijbehorende sleutelpaar niet conform Protocol zijn uitgevoerd Wie mag een verzoek tot intrekking doen In principe is eenieder bevoegd om een verzoek tot intrekking te melden bij de KvK Nederland (zie paragraaf 3.4) Procedure voor een verzoek tot intrekking Intrekkingverzoeken kunnen, met opgave van reden, per worden verstuurd naar of telefonisch worden aangemeld bij klantenservice ( ). De verzoeken worden vervolgens zorgvuldige beoordeeld door de RA, de Gedelegeerde Eindgebruiker, de Security Manager van KvK Nederland en de EGD- Diensteigenaar binnen de KvK Nederland. Hierbij wordt beoordeeld of het intrekkingverzoek voldoet aan de redenen vermeld in paragraaf Indien de opgave van reden gegrond wordt verklaard, wordt het intrekkingverzoek gehonoreerd, waarna de RA binnen de OnSite omgeving de opdracht verstrekt om het Certificaat in te trekken. De KvK Nederland zal de beweegreden voor de intrekking van een Certificaat vastleggen in het daarvoor bestemde logboek. In geval een intrekkingverzoek wordt afgewezen wordt dit aan de melder bekend gemaakt. De KvK Nederland zal er voor zorgdragen dat van ingetrokken Certificaten de bijbehorende sleutels niet opnieuw worden gebruikt. De private sleutel van het ingetrokken Certificaat wordt vernietigd. Ondanks alle zorgvuldig samengestelde maatregelen (zoals verwoord in onderhavig CPS) kan het voorkomen dat afhankelijk van de reden van intrekking reeds verstrekte EGD s opnieuw worden verstrekt. Dit is alleen het geval als op moment van besluit tot intrekking met zekerheid kan worden vastgesteld dat reeds verstrekte EGD s niet rechtsgeldig waren ten tijde van verstrekken. De KvK Nederland zal binnen twee werkdagen de desbetreffende Vertrouwende Partijen hierover per op de hoogte brengen. In alle andere gevallen zijn de reeds verstrekte EGD s rechtsgeldig en behoeven geen corrigerende maatregelen te worden getroffen door de KvK Nederland. De vermelding van een ingetrokken Certificaat maakt onderdeel uit van de CRL totdat de toegewezen geldigheidsdatum van het desbetreffende Certificaat is geëxpireerd CRL-uitgiftefrequentie De CRL bevindt zich in de Repository. De repository is openbaar en 24 uur per dag, 7 dagen per week beschikbaar. De CRL wordt minimaal éénmaal per 24 uur bijgewerkt. De CRL is te raadplegen via l. Pagina 15 van 49

16 De maximale vertraging tussen de ontvangst van een intrekkingverzoek en de wijziging van de revocation status informatie die voor alle Vertrouwende Partijen beschikbaar is, is twee werkdagen Procedures ten behoeve van beveiligingsaudits Vastlegging van gebeurtenissen De KvK Nederland zal voor auditdoeleinden overzichten bijhouden van gebeurtenissen in de levensloop van de CSP-systemen, die voor de betrouwbaarheid van de CSP-diensten van belang zijn. De volgende gebeurtenissen zullen in elk geval worden gelogd: het aanmaken van accounts en het wijzigen van toegangsrechten; de installatie en het wijzigen van kritieke software; het maken van back-ups; het afsluiten en herstarten van het systeem; het veiligstellen van audit-logs. De KvK Nederland garandeert dat alle gebeurtenissen met betrekking tot het goedkeuren van aanvragen en intrekkingverzoeken van Certificaten, met inbegrip van verzoeken tot vernieuwing van sleutels of vernieuwingen van Certificaten, (handmatig dan wel automatisch) worden gelogd. Hiertoe wordt een logboek bijgehouden en worden diverse activiteiten in het systeem gelogd (audit-log). De gebeurtenissen worden op zodanige wijze gelogd dat de integriteit van de gegevens is gewaarborgd Bewaartermijn van audit-log De audit-logs (waarin de gegevens van het goedkeuren van aanvragen en intrekkingverzoeken van Certificaten worden geregistreerd) worden voor een periode van ten minste 20 jaar bewaard in een archiveringssysteem. Opgemerkt dient te worden dat het archiveringssysteem fysiek eigendom is van VeriSign Bescherming van audit-log De audit-log worden logisch opgeslagen in een archiveringssysteem waarop een adequate logische toegangsbeveiliging is ingericht, gebaseerd op het need-to-know principe Audit-log back-up procedure Van de audit-logs worden backups gemaakt. Deze backups worden op een andere locatie opgeslagen dan waar de oorspronkelijke gegevens zich bevinden Archivering van documenten De KvK Nederland maakt gebruik van enkele papieren documenten rond de processen van sleutelpaar- en Certificatenbeheer en het verstrekken van EGD s. Deze documenten (het logboek en het protocol) worden 2 jaar in de kluis opgeslagen. Vervolgens worden deze documenten gearchiveerd door de diensteigenaar. Voor zover er elektronische documenten worden gebruikt gelden de bepalingen zoals opgenomen in Vernieuwen van sleutels Het vernieuwen van sleutels van de Certificaathouder wordt vooraf gegaan door een controle of aan alle eisen onder paragraaf 3.1, 3.2 en 3.3 is voldaan. Pagina 16 van 49

17 4.8. Compromittering en Continuïteit In geval van calamiteit, waarbij is inbegrepen de compromittering van de private sleutel van de CA waarmee Certificaten worden ondertekend, zal de KvK Nederland er alles aan (laten) doen om de EGD-gerelateerde activiteiten zo snel mogelijk weer doorgang te laten vinden. In geval van aantasting van de private sleutel van de KvK Nederland waarmee Certificaten worden ondertekend, zal de KvK Nederland minimaal het volgende doen: De Certificaathouder, Vertrouwende Partijen en andere CSP s waarmee er overeenkomsten bestaan of andere vormen van regdliere samenwerking over de aantasting informeren via de website van KvK ( Aangeven dat Certificaten en revocation status information uitgegeven met deze sleutel mogelijkerwijs niet langer geldig zijn via de website van KvK ( Beëindiging CSP-dienstverlening De KvK Nederland garandeert dat mogelijke verstoringen voor Certificaathouder en Vertrouwende Partijen als gevolg van beëindiging van de CSP minimaal blijven en dat de gegevens die nodig zijn om bewijs van certificering te kunnen leveren in een rechtsgang blijvend worden onderhouden. Met bewijs van certificering wordt bedoeld de mogelijkheid om de geldigheid van het Certificaat te kunnen blijven controleren gedurende de geldigheid van het Certificaat. Indien de KvK Nederland besluit dat de KvK Nederland de CSP-dienstverlening inclusief Certificaten stopzet, zal de KvK Nederland ernaar streven om: Alle Vertrouwende Partijen hiervan op de hoogte stellen door middel van een mededeling op de internetsite ( van de KvK s. Zorg te dragen dat alle archieven en loggingbestanden als bewijs voor certificatie beschikbaar blijven voor de in aangegeven periode. Alle Vertrouwende Partijen op de hoogte te stellen door middel van een melding op de internetsite ( van de KvK s van het feit dat de elektronische archieven nog beschikbaar zijn. De private sleutels van de CSP te vernietigen. De kritieke CSP-diensten, waaronder het aanbieden van revocation management service, revocation status service en via de gebruikelijke kanalen beschikbaar stellen van certificate status information, in stand houden gedurende de levensduur van het laatst uitgegeven Eindgebruikercertificaat. Dat wil zeggen tot 1 jaar na uitgeven van het laatste Eindgebruikercertificaat. 5. Fysieke, procedurele en personele beveiliging 5.1. Fysieke beveiliging Fysieke beveiliging met betrekking tot CSP De KvK Nederland draagt zorg voor een adequate fysieke, procedurele en personele informatiebeveiliging om de risico s op verlies, beschadiging en het compromitteren van essentiële componenten van de CSPdienstverlening tot een minimum te beperken. Dit geldt in het bijzonder voor de omgeving waar de elektronische handtekening wordt geplaatst op het elektronisch gewaarmerkt document en waar de private sleutel wordt opgeslagen. Pagina 17 van 49

18 De KvK Nederland heeft fysieke toegangsbeveiliging gerealiseerd door het aanbrengen van duidelijke grenzen (dat wil zeggen fysieke barrières) rond de diensten voor het elektronisch ondertekenen (plaatsen van digitale handtekening) van Elektronisch Gewaarmerkte Documenten. Met behulp van compartimentering zijn verschillende beveiligde ruimtes gecreëerd die enkel met geldige autorisatie (welke middels een toegangspasje automatisch wordt geverifieerd) binnen te komen zijn. Daarnaast zijn bewakingscamera s aangebracht bij kritieke doorgangen. De KvK Nederland heeft algemene fysieke beveiligingsmaatregelen getroffen in de ruimtes waar CSPdienstverlening kritieke apparatuur staat opgesteld. Deze maatregelen bestaan uit: klimaatregeling; uninterrupted power supply; automatische rookmeld-installatie; bewegingsdetectoren. De KvK Nederland heeft voor de delen van de CSP-functies die zijn uitbesteed contractuele afspraken gemaakt waardoor de beveiliging van informatie bij derden wordt gehandhaafd Fysieke beveiliging met betrekking tot RA(-certificaat) De RA binnen de KvK Nederland maakt gebruik van een op smartcard-technologie gebaseerde opslagmedium voor beide sleutels (privaat en publiek) en bijbehorende RA-certificaat. Het gebruik van dit opslagmedium is met behulp van een pincode beveiligd tegen ongeautoriseerd gebruik Fysieke beveiliging met betrekking tot CA(-certificaat) De CA binnen de KvK Nederland wordt gehost op een machine van VeriSign. De wijze waarop de private en publieke sleutel van de CA is beschermd staat beschreven in het CPS van Getronics ( en het CP van VeriSign ( Procedurele beveiliging Vertrouwelijke functies en functiescheiding De KvK Nederland heeft een controletechnische functiescheiding aangebracht tussen vijf categorieën van werkzaamheden: Het autoriseren van Eindgebruikercertificaten aanvragen; Bediening (operationeel beheer) van de CSP-systemen, inclusief productieactiviteiten met betrekking tot EGD s; Het aanvragen van Eindgebruikercertificaten; Ontwikkelactiviteiten met betrekking tot EGD-dienstverlening; Toezicht en controle Beheer en beveiliging De KvK Nederland maakt gebruik van gestandaardiseerde ICT beheerprocessen zoals service support en service delivery om de ICT-componenten behorende bij de EGD-dienstverlening op adequate wijze te beheren. Hieronder valt ook een noodprocedure voor het tijdig, juist en volledig verwerken van certificaatintrekkingverzoeken. Pagina 18 van 49

19 5.3. Personele beveiliging De onderdelen van de CSP-diensten van de KvK Nederland die te maken hebben met het genereren van sleutelparen en bijbehorende Certificaten zijn gedocumenteerd in werkinstructies en geautoriseerd door middel van een protocol zodat de navolgbaarheid van de werkzaamheden worden gegarandeerd. De KvK Nederland zal alleen personeel inzetten dat beschikt over voldoende vakkennis, ervaring en kwaliteit die noodzakelijk zijn voor de aangeboden EGD-gerelateerde diensten. De KvK Nederland heeft voldoende personeel in dienst met de noodzakelijke opleiding, training en technische kennis en ervaring voor de soort en hoeveelheid werk dat nodig is voor het leveren van EGD-gerelateerde diensten. Alle nieuwe KvK Nederland-medewerkers die EGD-gerelateerde werkzaamheden uitvoeren zullen hiervoor eerst een training met succes moeten hebben gevolgd. 6. Technische beveiliging Deze sectie bevat met name bepalingen (zie paragraaf 6.1, 6.3 en 6.4) met betrekking tot het technische beheer van publieke en private sleutels van de Eindgebruiker(-certificaat). Daarnaast wordt summier het technische beheer van de CA-certificaat beschreven (zie paragraaf 6.2). Voor een uitgebreidere beschrijving van het technische beheer van publieke en private sleutels van de CA(-certificaat) wordt verwezen naar het CPS van Getronics ( Genereren en installeren van sleutelparen Genereren van sleutelparen De KvK Nederland garandeert dat alle sleutels (private en publieke) van Eindgebruiker (Certificaathouder) op een betrouwbare en veilige wijze worden gegenereerd en dat de geheimhouding van de private sleutel van de Certificaathouder is gewaarborgd. Hiertoe heeft de Eindgebruiker de bijbehorende activiteiten door middel van een protocol aan een specifiek toegewezen functionaris binnen de KvK Nederland (Gedelegeerde Eindgebruiker) overgedragen. Het algoritme dat wordt gebruikt voor het genereren van de sleutels voor de Certificaathouder is sha1rsa Plaatsing van private sleutel De KvK Nederland garandeert dat de private sleutel van de Certificaathouder op een betrouwbare wijze wordt geplaatst op het computersysteem van de KvK Nederland. De private sleutel van de Certificaathouder wordt in afgeschermde omgeving opgeslagen op het computersysteem van de KvK Nederland Publieke sleutel en Certificaat Met behulp van een Certificate Signing Request (CSR) wordt door de Gedelegeerde Eindgebruiker een verzoek ingediend bij de RA om autorisatie te krijgen om voor aangeleverde publieke sleutel een getekende Certificaat aan te maken, conform 4.1, 4.2 en 4.3. Na ontvangst van Certificaat, wordt Certificaat eveneens in afgeschermde omgeving op het computersysteem van de KvK Nederland geplaatst. Pagina 19 van 49

20 Sleutellengten De sleutellengte van zowel de private als publieke sleutels van de Eindgebruiker is 2048 bits Archivering private sleutel De private sleutels van de Eindgebruiker (Certificaathouder) worden niet gearchiveerd na verloop van de levensduur van bijbehorend Eindgebruikercertificaat. Gedurende de gebruikstermijn van de private sleutel bevindt deze zich enkel en alleen in een logisch beveiligde omgeving. Na afloop van de gebruikstermijn wordt de private sleutel vernietigd Private sleutel bescherming CA en RA Standaarden voor cryptografische modulen Voor het beheer van publieke en private sleutels van de CA(-certificaat) wordt verwezen naar het CPS van Getronics ( Voor het beheer van publieke en private sleutels van de RA(-certificaat) wordt verwezen naar het CPS van VeriSign ( Archivering private sleutel Voor het beheer van publieke en private sleutels van de CA(-certificaat) wordt verwezen naar het CPS van Getronics ( Voor het beheer van publieke en private sleutels van de RA(-certificaat) wordt verwezen naar het CPS van VeriSign ( Vernietiging private sleutel Voor het beheer van publieke en private sleutels van de CA(-certificaat) wordt verwezen naar het CPS van Getronics ( Voor het beheer van publieke en private sleutels van de RA(-certificaat) wordt verwezen naar het CPS van VeriSign ( Gebruiksduur publieke en private sleutels De publieke en private sleutels van de CA van KvK Nederland hebben een geldigheidsduur van 5 jaar. De publieke en private sleutel van de RA heeft een geldigheidsduur van 1 jaar. De publieke en private sleutel van de Eindgebruiker heeft een geldigheidsduur van 1 jaar Logische toegangsbeveiliging van KvK Nederland CSP computers De KvK Nederland ziet toe op een effectieve administratie van de toegang door gebruikers (hierbij zijn inbegrepen operators, beheerders en alle gebruikers met directe toegang tot het systeem) om systeembeveiliging te handhaven, met inbegrip van het beheer van de gebruikersaccounts, auditing en tijdige wijziging of verwijdering van de toegangsmogelijkheden. KvK Nederland-personeel worden succesvol geïdentificeerd en geauthenticeerd voordat zij gevoelige applicaties kunnen benaderen die te maken hebben met de EGD-gerelateerde diensten. Pagina 20 van 49