Nationale Bank van België Certificate Policy NBBCertificatePolicy 2.0

Transcriptie

1 Nationale Bank van België Certificate Policy NBBCertificatePolicy JULI 2007 Opmerking : het GEBRUIK van een certificaat dat uitgereikt werd door de Nationale Bank van België (hierna "de NBB") impliceert dat de gebruiker ervan zich akkoord verklaart met deze Certificate Policy (hierna "de CP") en de procedures, verplichtingen en verantwoordelijkheden die hieraan verbonden zijn. DOCUMENT HISTORIEK Revisie Datum Auteur - Wijzigingen aan de inhoud Nummer L. CERTYN - Initiële Versie L. CERTYN - Wijzigingen met betrekking tot de formulering in meerdere paragrafen. GEEN fundamentele wijzigingen - Versie L. CERTYN - Versie 2.0 Deze versie geldt voor NBB certificaten die na uitgegeven werden door de CA met als karakteristieken: CA DN: CN = National Bank of Belgium - Production CA O = National Bank of Belgium C = BE Web fingerprint van de CA die certificaten ondertekent: 5e:96:2d:5e:37:2d:a3:83:a8:c3:0e:00:8c:aa:02:2e:cc:b9:2e:0e NBB - Data Security Management Page 1/15 Last Saved :

2 INHOUDSOPGAVE Document Historiek 1 VOORWOORD 5 DOEL 5 1. INLEIDING 6 Definities en Afkortingen Overzicht Identificatie Doelgroep en Gebruik Doelgroep Gebruik Contact Informatie betreffende de CP 9 2. ALGEMENE BEPALINGEN Plichten CA Plichten RA Plichten Plichten van de certificaathouders Plicht van nazicht van de geldigheid van een certificaat Bescherming van niet-publieke Gegevens Aansprakelijkheid Financiële verantwoordelijkheid Interpretatie en uitvoering Wetsbepalingen Geschillen Tarieven 10 NBB - Data Security Management Page 2/15 Last Saved :

3 2.6. Publicatie van gegevens Auditering Confidentialiteit IDENTIFICATIE EN IDENTITEITSCONTROLE Aanvankelijke registratie Bepaling van de naam Gebruik van Betekenisvolle namen Regels voor de interpretatie van namen Uniciteit van een naam Geschillen bij de naambepaling Handelsmerken Bezit van private sleutel van de certificaathouder authenticatie van het bedrijf van de certificaathouder authenticatie van de identiteit van de certificaathouder Routinematige wijziging van de sleutels Hernieuwing van de sleutels na revocatie VerZoek tot revocatie OPERATIONELE VEREISTEN Certificaat aanvraag Certificaat uitgifte Certificaat aanvaarding Certificaat revocatie Audit procedures Archivering Hernieuwen van de sleutels (Key Renewal) Comprommitering en rampprocedures 14 NBB - Data Security Management Page 3/15 Last Saved :

4 5. FYSISCHE, PROCEDURELE EN PERSONEEL VEILIGHEIDSCONTROLES Fysische veiligheidscontroles Procedures Personeel TECHNISCHE VEILIGHEIDSCONTROLES CERTIFICAAT EN CRL PROFIELEN CP ADMINISTRATIE 15 NBB - Data Security Management Page 4/15 Last Saved :

5 VOORWOORD Teneinde de veiligheid te verhogen van de gegevensuitwissling tussen de NBB enerzijds en haar tegenpartijen anderzijds, kan de NBB 1. Certificaten uitgeven, op een in dit document beschreven wijze, teneinde fysieke of rechtspersonen of hun aangestelden toe te laten haar toepassingen uit te voeren en 2. de toegang tot haar toepassingen aan bepaalde voorwaarden te onderwerpen. Deze onderhavige CP bevat de algemene bepalingen met betrekking tot de uitgifte, het gebruik en de intrekking van cryptografische Certificaten. Daar het verkrijgen en in het bijzonder het gebruik van Certificaten in de meeste gevallen sterk afhangt van de toepassing, zal de "Certificate Policy" aangevuld worden met bijkomende specifieke bepalingen die opgenomen worden in een ander document, genaamd "Certificate Practice Statement" (hierna "de CPS"). Deze Certificate Policy volgt de structuur van de internet specificatie RFC DOEL Deze onderhavige CP: 1. definieert de karakteristieken van de in de NBB geïnstalleerde publieke sleutel infrastructuur en 2. bevat in dit kader bepalingen met betrekking tot de creatie, het gebruik en de resiliatie van uitgegeven Certificaten alsook de rechten en de plichten van de betrokken partijen door het bebruik van deze infrastructuur. De NBB geeft deze certificaten uit om de gegevensuitwisseling met haar correspondenten te beveiligen, volgens de algemene bepalingen van dit document, dat meer bepaald de rechten en plichten van de betrokken partijen beschrijft. 1 Deze RFC wordt algemeen erkend en aanvaard als de "te volgen richtlijn" voor het opstellen van een Certificate Policy. Meer informatie kan teruggevonden worden op In deze Certificate Policy werden de namen van de verschillende secties en paragrafen van de RFC 2527 vertaald uit het Engels, doch de nummering bleef behouden, zodat het maken van een vergelijking tussen beide mogelijk blijft. Indien de NBB voor een sectie in de RFC geen nuttige of geen richtlijnen wenst te definiëren, zal de vermelding "Geen bepalingen" terug te vinden zijn. Indien enkel de titel van de sectie terug te vinden is, zal deze sectie verder verduidelijkt worden in een "Certificate Practice Statement". NBB - Data Security Management Page 5/15 Last Saved :

6 1. INLEIDING DEFINITIES EN AFKORTINGEN Voor het opstellen en de interpretatie van de onderhavige CP, alsook voor alle documenten die er betrekking op hebben, waaronder de CPS, betekenen de volgende afkortingen : "ARL" : Authority Revocation List. "CA" : Certificatie Autoriteit. "CP" : Certificate Policy. "CPS" : Certificate Practice Statement. "CRL" : Certificate Revocation List. "NBB" : Nationale Bank van België. "PKI" : Public Key Infrastructure. "RA" : Registratie Autoriteit. "RFC" : Request for Comment. "TRD" : Tamper Resistant Device Voor het opstellen en de interpretatie van de onderhavige CP, alsook voor alle documenten die er betrekking op hebben, waaronder de CPS, verstaat men onder : "Authenticatie" : het proces waarbij vastgesteld wordt dat een bepaald bericht (eventueel de handtekening) afkomstig is van de persoon die als titularis is aangeduid. "Authority Revocation List" : een Certificatie Authoriteit kan andere Certificatie Authoriteiten certificeren. Deze certifciatie kan opgeschort worden, wat opgenomen wordt in de Authority Revocation List, die echter fysisch in de CRL opgenomen wordt. "Certificatie Autoriteit" : een entiteit in de NBB die Certificaten uitgeeft door de gegevens in het Certificaat te handtekenen met zijn eigen private sleutel. "Certificaat" : een electonisch getuigschrift, zijnde een verzameling van digitale gegevens die door de Certificatie Autoriteit als echt verklaard werden. Het garandeert dat een bepaalde public key gekoppeld is aan een bepaalde persoon, die voordien geïdentificeerd werd (art. 2, 3_ WetCertificatiedienstverlening). Een certificaat koppelt een persoon aan een handtekening. Certificaathouder : de houder van een NBB Certificaat, die hiervoor geidentificeerd werd door een Registratie Autoriteit. Certificate Policy : bepalingen en regels die van toepassing zijn bij de uitgifte en het gebruik van certificaten. Certificate Practice Statement : Een verzameling van bepalingen, regels en procedures die door de Certificatie Autoriteit aangewend worden. Het is meestal een meer praktische uitbreiding op een Certificate Policy en is daarom ook meer gebonden aan de toepassingen. Certificate Revocation List : een lijst die door de Certificatie Autoriteit gepubliceerd wordt en de Certificaten bevat die gerevoceerd (ongeldig verklaard) werden. Digitale Identiteit : een verzameling van digitale gegevens die éénduidig de identiteit van een persoon of een rechtspersoon bepalen. Digitale handtekening : NBB - Data Security Management Page 6/15 Last Saved :

7 Het resultaat van een cryptografische bewerking (zie Public Key Infrastructure) die uitgevoerd werd op een bericht, waardoor de auteur met zekerheid kan geïdentificeerd worden. De auteur gebruikt hiervoor zijn/haar private sleutel. Derden kunnen deze handtekening nagaan door gebruik te maken van de publieke sleutel van de auteur die in zijn.haar cryptografisch certificaat terug te vinden is. Daar het begrip digitale handtekening (geavanceerde elektronische handtekening) hoofdzakelijk betrekking heeft op de technische aanmaakaspecten van de handtekening, met name het gebruik maken van de asymmetrische encryptietechnieken, maakt de wetgever in deze categorie nog een onderscheid naar gelang de aard van het erbij horende certificaat, d.w.z. de identificatie en de authenticatie. De wetgever stelt een geavanceerde elektronische handtekening enkel gelijk met een handgeschreven handtekening indien de geavanceerde elektronische handtekening gerealiseerd werd op basis van een gekwalificeerd certificaat. Encryptie : een techniek om gegevens van klare tekst naar onleesbare tekst om te zetten, gebruik makend van een algoritme en een geheime sleutel. Identificatie : Het geheel van activiteiten waarbij de naam en het geografisch adres van een persoon of van een instelling bepaald worden. Een adres of een postbusnummer beantwoorden niet aan de vereiste. Anderzijds volstaat het geografisch adres, zonder dat dit de wettelijke woonplaats behoeft te zijn of de plaats waar iemand is ingeschreven in het bevolkingsregister. Onweerlegbaarheid : Niet weerlegd kunnende of mogende worden (eng. non-repudiation). De bestemmeling van een bericht moet ervan verzekerd worden dat de afzender niet kan ontkennen de auteur van het bericht te zijn. PIN (of PIN code) : persoonlijk identificatie nummer, een paswoord om toegang te verkrijgen tot de private sleutel, die opgeslagen is in een geëncrypteerd bestand (PKCS#12 formaat). Profiel Certificaat : een bestand op de harddisk van de certificaathouder, dat naast de huidige private sleutel eveneens een historiek van de "oude" vervangen private sleutels bevat. Private sleutel : het privaat deel van het asymmetrisch sleutelpaar (cfr. Public Key Infrastructure) dat gebruikt wordt voor het plaatsen van een digitale handtekening of om ontvangen berichten te decrypteren. Public Key Infrastructure (PKI) : Een cryptografisch systeem dat tot doel heeft om met zekerheid de partijen in een elektronische transactie te kunnen authificeren. Iedere partij bezit een assymetrich sleutelpaar (privaat en publiek sleuteldeel). De registratie gebeurt door een Registratie Autoriteit waarna de Certificatie Autoriteit het certificaat uitreikt. Publieke sleutel : het publiek deel van het asymmetrisch sleutelpaar (cf. Public Key Infrastructure), dat gebruikt wordt voor het nazicht van digitale handtekeningen of om berichten te encrypteren voor de eigenaar van de private sleutel. Publieke Certificatie Autoriteit : een Certificatie Autoriteit die certificaten uitreikt aan het publiek. Registratie Autoriteit : een eenheid die belast is met het identificeren en authenticeren van certificaat aanvragers. In de NBB worden er meerdere Registratie Autoriteiten opgezet. Request For Comment : is een standaard of voorstel binnen Internet. NBB - Data Security Management Page 7/15 Last Saved :

8 Smartcard : een plastic kaart, voorzien van een microcomputer waarop digitale informatie kan opgeslagen worden. Tamper Resistant Device : vergelijkbaar met een smartcard, maar met een nog hogere beschermingsgraad. Deze TRD's zijn veel groter en robuuster dan de smartcards en worden meestal aangewend om private sleutels van servers op te slaan, niet om gebruikt te worden door fysieke personen OVERZICHT Certificaten die door de NBB uitgereikt worden bieden een hoge graad van zekerheid dat de Digitale Identiteit, die opgenomen is in het certificaat, overeenstemt met de certificaathouder. De certificaathouder dient zich, om een certificaat te verwerven, aan te melden bij een NBB Registratie Autoriteit: Hiervoor dient hij/zij te beschikken over wettelijk aanvaardbare identificatiemiddelen (identiteitskaart of paspoort) en desgevallend ook over een afschrift van de statuten van zijn/haar bedrijf, en dient hij/zij zich persoonlijk aan te bieden IDENTIFICATIE Certificate Policy Naam : NBBCertificatePolicy 2.0 Object identifier : niet van toepassing. CA DN : CN = National Bank of Belgium - Production CA O = National Bank of Belgium C = BE Web fingerprint van de CA die certificaten ondertekent : 5e : 96 : 2d : 5e : 37 : 2d : a3 : 83 : a8 : c3 : 0e : 00 : 8c : aa : 02 : 2e : cc : b9 : 2e : 0e 1.3. DOELGROEP EN GEBRUIK DOELGROEP De NBB PKI is opgebouwd rond een Certificatie Autoriteit (CA) en Registratie Autoriteiten (RA's) en zal certificaten uitreiken ten voordele van de NBB en haar correspondenten. Er zijn DRIE TYPES certificaten, die aan een certificaathouder toelaten te handelen in eigen naam, ofwel in naam van een rechtspersoon. We onderscheiden : "Persoonlijke" certificaten, indien het gaat om een natuurlijke persoon, "Groep" certificaten, indien het gaat om een organisatorische eenheid binnen een rechtspersoon, of "Server" Certificaten, indien het gaat om machines in bezit van een rechtspersoon. De NBB ondersteunt de volgende CATEGORIËN certificaten voor zowel NBB als NIET-NBB certificaathouders : Smartcard en Tamper Resistant Device certificaten, bestanden op schijf (in PKCS#12 formaat ). Het type certificaat dat uitgereikt wordt is afhankelijk van de toepassing en het risico dat gelopen wordt in geval van misbruik. NBB - Data Security Management Page 8/15 Last Saved :

9 GEBRUIK De NBB CA zal geen certificaten uitreiken aan het publiek, en kan hierdoor niet geclassificeerd worden als een publieke CA. Cryptografische operaties (tekenen van gegevens, encrypteren van gegevens,...) die uitgevoerd worden met NBB certificaten moeten plaatsvinden in een "veilige" omgeving. De certificaten mogen enkel gebruikt worden in door de NBB ondersteunde toepassingen en kunnen aangewend worden voor authenticatie, digitale handtekening en gegevensencryptie en decryptie. De certificaten mogen niet gebruikt worden tussen NIET-NBB certificaathouders onderling CONTACT INFORMATIE BETREFFENDE DE CP Data Security Management Nationale Bank van België N.V. de Berlaimontlaan, Brussel Fax : dsm@nbb.be 2. ALGEMENE BEPALINGEN 2.1. PLICHTEN CA PLICHTEN Het is de plicht van de CA verantwoordelijken om ervoor te zorgen dat de private sleutel van de CA sterk beveiligd is, en dat de CA private sleutel enkel gebruikt wordt voor het tekenen van certificaten, CRL's en ARL's. Het is de plicht van de CA om iedere NBB werkdag en in geval van een revocatie van een certificaat, behalve in geval van overmacht, een nieuwe CRL aan te maken. Deze CRL wordt niet publiekelijk gepubliceerd en is enkel bestemd voor intern gebruik in de NBB toepassingen RA PLICHTEN Het is de plicht van de RA om ervoor te zorgen dat de private sleutel van de RA goed beveiligd is en dat deze enkel mag aangewend worden met betrekking tot de uitoefening van de RA functie. Het is eveneens de plicht van de RA een betrouwbare identificatie van personen uit te voeren PLICHTEN VAN DE CERTIFICAATHOUDERS De certificaathouders hebben de plicht erover te waken dat enkel zij als enige in het bezit zijn van hun private sleutel. Dit impliceert dat ze de PIN code die toegang verleent tot het certificaat en de bijhorende sleutels zorgvuldig bewaren en hun werkstation niet onbeheerd achterlaten indien deze PIN code ingebracht is. Indien de certificaathouder meent niet meer alleen te beschikken over de NBB - Data Security Management Page 9/15 Last Saved :

10 private sleutel dient onmiddellijk een NBB RA te worden gecontacteerd, waarna de NBB RA de certificaathouder in staat zal stellen om een nieuwe private sleutel te genereren. Bij "persoonlijke" certificaten mag nooit het certificaat of de PIN code aan een andere persoon worden doorgegeven. Voor "Groep" en "Server" certificaten is het de verantwoordelijkheid van de rechtspersoon om de gebruikers van dit certificaat aan te duiden PLICHT VAN NAZICHT VAN DE GELDIGHEID VAN EEN CERTIFICAAT Indien een gebruiker in een transactie of een informatieoverdracht een certificaat aangeboden krijgt van een andere certificaathouder kan - indien de NBB toepassing het ondersteunt. - de geldigheid ervan nagegaan worden BESCHERMING VAN NIET-PUBLIEKE GEGEVENS Gegevens betreffende de Certificaathouder, die niet vermeld zijn in het certificaat, dienen binnen de NBB op een vertrouwelijke wijze te worden behandeld en voldoende beveiligd te worden opgeslagen AANSPRAKELIJKHEID De NBB kan niet aansprakelijk gesteld worden wat betreft het gebruik van de certificaten indien ze niet gebruikt werden in NBB toepassingen FINANCIËLE VERANTWOORDELIJKHEID De NBB zal geen enkele financiële verantwoordelijkheid dragen met betrekking tot het gebruik van de certificaten indien ze niet gebruikt werden in NBB toepassingen INTERPRETATIE EN UITVOERING WETSBEPALINGEN Deze CP is onderhavig aan de geldende Belgische wetten. Het Brussels gerechtshof zal de exclusieve bevoegdheid hebben om te oordelen in geval van schadevorderingen of wettelijke acties die mogelijk door derden ondernomen worden met betrekking tot deze CP en het gebruik van de NBB certificaten. Deze overeenkomst wordt uitsluitend beheerst door het Belgisch recht. De rechtbanken van het arrondissement Brussel zijn bij uitsluiting bevoegd kennis te nemen van alle geschillen die rijzen omtrent de totstandkoming, de uitvoering en de interpretatie van deze overeenkomst GESCHILLEN Geschillen aangaande de CP zullen aanvankelijk door gekwalificeerd personeel van de NBB (Juridische Dienst, Interne Audit) behandeld worden. Indien geen vergelijk kan gevonden worden, geldt TARIEVEN Worden elders bepaald. NBB - Data Security Management Page 10/15 Last Saved :

11 2.6. PUBLICATIE VAN GEGEVENS De NBB mag enkel de opgenomen gegevens in de uitgegeven certificaten en CRL's openbaar publiceren, hoewel dit geen verplichting is. Alle andere gegevens betreffende de certificaathouders blijven enkel voor personeel van de NBB beschikbaar AUDITERING Auditeren van de NBB PKI componenten kan uitgevoerd worden door de NBB Interne Audit of door een externe audit autoriteit op vraag van de NBB CONFIDENTIALITEIT Zie IDENTIFICATIE EN IDENTITEITSCONTROLE 3.1. AANVANKELIJKE REGISTRATIE Iedere certificaathouder moet zichzelf identificeren en registreren bij een NBB Registratie Autoriteit BEPALING VAN DE NAAM De naam van de certificaathouder die vermeld staat in een certificaat is afhankelijk van het type certificaat (zie 1.3.1). We vermelden: "persoonlijke" certificaten: de NAAM + VOORNAAM van de certificaathouder, zoals deze vermeld staat op de identiteitskaart of paspoort, "groep" certificaten: de NUIN van de rechtspersoon. Deze certificaten kunnen gebruikt worden door meerdere personen in een organisatie of geïnstalleerd worden op een of meerdere machines of servers. "server" certificaten: de NAAM van de rechtspersoon en een machine naam binnen deze rechtspersoon GEBRUIK VAN BETEKENISVOLLE NAMEN Geen bepalingen REGELS VOOR DE INTERPRETATIE VAN NAMEN Geen bepalingen UNICITEIT VAN EEN NAAM De NBB behoudt zich het recht voor om de nodige informatie in het certificaat aan te brengen teneinde een nauwkeurige bepaling van het certificaat en de certificaathouder mogelijk te maken. Zo zal indien nodig een uniek serienummer opgenomen worden. NBB - Data Security Management Page 11/15 Last Saved :

12 GESCHILLEN BIJ DE NAAMBEPALING Geen bepalingen HANDELSMERKEN Geen bepalingen BEZIT VAN PRIVATE SLEUTEL VAN DE CERTIFICAATHOUDER Gedurende het certificatieproces zal de CA controleren of de private sleutel van de certificaathouder overeenstemt met de publieke sleutel, zonder de private sleutel van de certificaathouder te kennen. Zie AUTHENTICATIE VAN HET BEDRIJF VAN DE CERTIFICAATHOUDER De naam van het bedrijf of organisatie zal gecontroleerd worden aan de hand van de vermeldingen in de statuten. Het adres van het bedrijf zal door de aanvrager aangeleverd worden en gecontroleerd worden door de RA. Indien het adres van het bedrijf of de organisatie wijzigt, kan het certificaat toch behouden blijven AUTHENTICATIE VAN DE IDENTITEIT VAN DE CERTIFICAATHOUDER Zie Het adres van de certificaathouder kan in het certificaat opgenomen worden. De RA zal zich beperken tot een elementaire vormcontrole van dit adres. De aanvrager kan zich voor de RA laten vertegenwoordigen door een mandataris, die zelf reeds houder is van een NBB certificaat. Deze gevolmachtigde dient hiervoor over een handgetekend attest te beschikken dat opgesteld werd door de aanvrager. Indien er zich wijzigingen voordoen in de informatie die aan de NBB verstrekt werd, dienen deze aan de RA zo snel mogelijk te worden meegedeeld ROUTINEMATIGE WIJZIGING VAN DE SLEUTELS De sleutelparen en certificaten dienen MANUEEL door de certificaathouder te worden hernieuwd alvorens de geldigheid van het certificaat verstrijkt. De certificaathouder wordt echter tussen één en drie maanden vóór deze vervaldatum op de hoogte gebracht HERNIEUWING VAN DE SLEUTELS NA REVOCATIE Zoals in 3.1 (initiële registratie) VERZOEK TOT REVOCATIE Een verzoek tot revocatie kan door de certificaathouder gevraagd worden bij zijn/haar RA. Dit verzoek kan eveneens gegeven worden door een fysieke persoon van het bedrijf of de organisatie waartoe de certificaathouder behoort. De redenen tot revocatie van een certificaat zijn : dat de certificaathouder het vermoeden heeft dat zijn/haar private sleutel door derden gekend is, of NBB - Data Security Management Page 12/15 Last Saved :

13 dat het niet meer nodig is dat de certificaathouder over een NBB Certificaat beschikt. 4. OPERATIONELE VEREISTEN 4.1. CERTIFICAAT AANVRAAG De aanvraag van een certificaat zal gebeuren door middel van een formulier dat bij de NBB RA kan bekomen worden. De RA zal nadien de certificaat aanvrager uitnodigen voor de identificatie en de registratie. De NBB heeft het recht een aanvraag te weigeren en bijgevolg geen certificaat uit te reiken CERTIFICAAT UITGIFTE Nadat de certificaat aanvraag positief werd bevonden, zal de aanvrager een registratie code van de RA ontvangen. Via deze registratie code kan de aanvrager zich met de NBB CA in verbinding stellen en het certificatieproces opstarten. In dit proces wordt het privaat/publiek sleutelpaar aangemaakt, het sleutelpaar door de CA gecontroleerd, en het certificaat aan de aanvrager overgemaakt. De NBB zal hiervoor richtlijnen en eventueel software aan de aanvrager ter beschikking stellen CERTIFICAAT AANVAARDING Door het gebruik van een certificaat, uitgegeven door de NBB, verklaart de aanvrager zich akkoord met deze Certificate Policy CERTIFICAAT REVOCATIE De voorvaarden om een certificaat te revoceren zijn vermeld in punt 3.4. De NBB heeft daarenboven steeds het recht om elk uitgegeven certificaat te revoceren. Mogelijke redenen om een certificaat te revoceren zijn : Comprommitering of vermoeden van comprommitering van de private sleutel. Gegevens met betrekking tot de certificaathouder die gewijzigd zijn, echter zonder dat er sprake is van enige vorm van comprommitering. Het sleutelpaar is vervangen door een nieuw sleutelpaar, zonder dat er sprake is van comprommitering. Het sleutelpaar is niet langer meer nodig, zonder dat er sprake is van comprommitering. Voldoende bewijzen dat de certificaathouder zijn/haar verplichtingen niet respecteert. Alle gerevoceerde certificaten waarvan de geldigheidsdatum nog niet overschreden werd, worden opgenomen in de CRL. Deze CRL kan gebruikt worden door de NBB toepassingen AUDIT PROCEDURES NBB - Data Security Management Page 13/15 Last Saved :

14 4.6. ARCHIVERING 4.7. HERNIEUWEN VAN DE SLEUTELS (KEY RENEWAL) 4.8. COMPROMMITERING EN RAMPPROCEDURES 5. FYSISCHE, PROCEDURELE EN PERSONEEL VEILIGHEIDSCONTROLES 5.1. FYSISCHE VEILIGHEIDSCONTROLES De NBB zal de nodige maatregelen nemen om toegang tot de CA componenten, zowel hardware als software, strikt te beperken tot geautoriseerd personeel PROCEDURES Alle certificatie procedures en taken die door verschillende NBB entiteiten moeten uitgevoerd worden zijn beschreven in interne documenten, die regelmatig herzien worden en aangepast indien nodig PERSONEEL Het personeel dat certificatie taken uitvoert zal als "te vertrouwen" worden beschouwd en wordt geselecteerd volgens de geldende NBB aanwervingsmodaliteiten. 6. TECHNISCHE VEILIGHEIDSCONTROLES De NBB zal een aantal technische beveiligingsmechanismen voorzien met referenties naar de producten aangeleverd door de PKI leverancier. Omwille van veiligheidsoverwegingen zullen deze controles enkel terug te vinden zijn in interne documenten. 7. CERTIFICAAT EN CRL PROFIELEN De NBB zal slechts één X.509v3 certificaat profiel en één CRL profiel aanbieden. Het certificaat zal de volgende informatie bevatten: De naam (DN=distinguished name) van de certificaathouder. Deze DN kan eveneens vervangen worden door een serienummer (= nuin = "nbb unique identification number") dat door de NBB aan het certificaat toegekend werd. Dit serienummer zal uniek zijn binnen de NBB CA. Geldigheidsperiode (VIJF jaren). Informatie betreffende het certificaat van de uitgever (Nationale Bank van België). NBB - Data Security Management Page 14/15 Last Saved :

15 De publieke sleutel van de certificaathouder. 8. CP ADMINISTRATIE De NBB kan eenzijdig deze CP aanpassen. Deze aanpassingen kunnen als volgt aan de externe tegenpartijen meegedeeld worden: Via de Post waarbij u gevraagd wordt de gewijzigde CP te ondertekenen; Via de Internet toepassing, waarbij u, naar aanleiding van een hernieuwing van uw certificaat u zich akkoord dient te verklaren met de CP die op de site aanwezig zijn. Deze elektronische bevestiging heeft dezelfde waarde van een handtekening die geplaatst werd op een papieren versie. Wijzigingen aan deze CP worden vermeld vooraan in Document Historiek. De datum en het onderwerp zullen vermeld worden. NBB - Data Security Management Page 15/15 Last Saved :