Nationale Bank van België Certificate Practice Statement For External Counterparties 1 NBBCertificatePracticeStatement External Counterparties 2.0 13 JULI 2007 Opmerking : het GEBRUIK van een certificaat dat uitgereikt werd door de Nationale Bank van België (NBB) IMPLICEERT dat de gebruiker ervan zich akkoord verklaart met dit Certificate Practice Statement (CPS) en de procedures, verplichtingen en verantwoordelijkheden die hieraan verbonden zijn. DOCUMENT HISTORIEK Revisie Nummer Datum Auteur - Wijzigingen aan de inhoud 0 21.10.2002 L. CERTYN - Initiële Versie 1.0 2 13.07.2007 L. CERTYN - Versie 2.0 Deze versie geldt voor NBB certificaten die na 13.07.2007 uitgegeven werden door de CA met als karakteristieken: CA DN : CN = National Bank of Belgium - Production CA O = National Bank of Belgium C = BE Web fingerprint van de CA die certificaten ondertekent : 5e : 96 : 2d : 5e : 37 : 2d : a3 : 83 : a8 : c3 : 0e : 00 : 8c : aa : 02 : 2e : cc : b9 : 2e : 0e 1 Dit Certificate Practice Statement volgt de structuur die voorgesteld is in de RFC (Request For Comment) 2527 (Versie Maart 1999). NBB - Data Security Management Page 1/11 Last Saved: 13.07.2007
INHOUDSOPGAVE Document Historiek 1 VOORWOORD 5 1. INLEIDING 5 1.1. Overzicht 5 1.2. Identificatie 5 1.3. Doelgroep en Gebruik 5 1.3.1. Doelgroep 5 1.3.2. Gebruik 5 1.4. Contact Informatie betreffende de CPS 6 2. ALGEMENE BEPALINGEN 7 2.1. Plichten 7 2.1.1. CA Plichten 7 2.1.2. RA Plichten 7 2.1.3. Plichten van de certificaathouders 7 2.1.4. Plicht van nazicht van de geldigheid van een certificaat 7 2.1.5. Bescherming van niet-publieke Gegevens 7 2.2. Aansprakelijkheid 7 2.3. Financiële verantwoordelijkheid 7 2.4. Interpretatie en uitvoering 7 2.4.1. Wetsbepalingen 7 2.4.2. Geschillen 7 2.5. Tarieven 7 2.6. Publicatie van gegevens 7 2.7. Auditering 7 2.8. Confidentialiteit 7 NBB - Data Security Management Page 2/11 Last Saved: 13.07.2007
3. IDENTIFICATIE EN IDENTITEITSCONTROLE 7 3.1. Aanvankelijke registratie 7 3.1.1. Bepaling van de naam 7 3.1.2. Gebruik van Betekenisvolle namen 8 3.1.3. Regels voor de interpretatie van namen 8 3.1.4. Uniciteit van een naam 8 3.1.5. Geschillen bij de naambepaling 8 3.1.6. Handelsmerken 8 3.1.7. Bezit van private sleutel van de certificaathouder 8 3.1.8. authenticatie van het bedrijf van de certificaathouder 8 3.1.9. authenticatie van de identiteit van de certificaathouder 8 3.2. Routinematige wijziging van de sleutels 8 3.3. Hernieuwing van de sleutels na revocatie 8 3.4. VerZoek tot revocatie 9 4. OPERATIONELE VEREISTEN 9 4.1. Certificaat aanvraag 9 4.2. Certificaat uitgifte 9 4.2.1. Initiële aanvraag 9 4.2.2. Werkwijze indien men reeds over een certificaat beschikt 10 4.3. Certificaat aanvaarding 10 4.4. Certificaat revocatie 10 4.5. Audit procedures 10 4.6. Archivering 10 4.7. Hernieuwen van de sleutels (Key Renewal) 10 4.8. Comprommitering en rampprocedures 10 5. FYSISCHE, PROCEDURELE EN PERSONEEL VEILIGHEIDSCONTROLES 11 5.1. Fysische veiligheidscontroles 11 NBB - Data Security Management Page 3/11 Last Saved: 13.07.2007
5.2. Procedures 11 5.3. Personeel 11 6. TECHNISCHE VEILIGHEIDSCONTROLES 11 7. CERTIFICAAT EN CRL PROFIELEN 11 8. CPS ADMINISTRATIE 11 NBB - Data Security Management Page 4/11 Last Saved: 13.07.2007
VOORWOORD Dit Certificate Practice Statement (CPS) is een uitbreiding van de Certificate Policy (CP) NBBCertificatePolicy 2.0 en is meer specifiek bedoeld voor het gebruik van certificaten door externe zakenpartners, hierna NBB tegenpartijen genaamd. De structuur van de CPS is identiek aan deze van de CP, waarbij, indien nodig bijkomende verklaringen in de paragrafen toegevoegd worden. Indien de bepalingen uit de CP eveneens ongewijzigd van toepassing zijn voor de CPS, wordt enkel de hoofding van de paragraaf overgenomen. 1. INLEIDING 1.1. OVERZICHT 1.2. IDENTIFICATIE Certificate Practice Statement Naam : NBBCertificatePracticeStatement External Counterparties 2.0 Certificate Policy Naam : NBBCertificatePolicy 2.0 Object identifier : niet van toepassing. 1.3. DOELGROEP EN GEBRUIK 1.3.1. DOELGROEP In het kader van de NBB toepassingen die een volledig betrouwbare identificatie en authenticatie van de NBB tegenpartij vragen, worden NBB certificaten uitgegeven aan rechtspersonen in het algemeen (groepcertificaten) of aan toepassingsservers in het kader van B2B (Business to Business). 1.3.2. GEBRUIK NBB - Data Security Management Page 5/11 Last Saved: 13.07.2007
1.4. CONTACT INFORMATIE BETREFFENDE DE CPS Data Security Management Nationale Bank van België N.V. de Berlaimontlaan, 14 1000 Brussel dsm@nbb.be Fax : +32 2 221 32 15 NBB - Data Security Management Page 6/11 Last Saved: 13.07.2007
2. ALGEMENE BEPALINGEN 2.1. PLICHTEN 2.1.1. CA PLICHTEN 2.1.2. RA PLICHTEN 2.1.3. PLICHTEN VAN DE CERTIFICAATHOUDERS 2.1.4. PLICHT VAN NAZICHT VAN DE GELDIGHEID VAN EEN CERTIFICAAT 2.1.5. BESCHERMING VAN NIET-PUBLIEKE GEGEVENS 2.2. AANSPRAKELIJKHEID 2.3. FINANCIËLE VERANTWOORDELIJKHEID 2.4. INTERPRETATIE EN UITVOERING 2.4.1. WETSBEPALINGEN 2.4.2. GESCHILLEN 2.5. TARIEVEN 2.6. PUBLICATIE VAN GEGEVENS 2.7. AUDITERING 2.8. CONFIDENTIALITEIT 3. IDENTIFICATIE EN IDENTITEITSCONTROLE 3.1. AANVANKELIJKE REGISTRATIE Iedere NBB tegenpartij die een NBB certificaat wil verkrijgen, teneinde een NBB toepassing (of bepaalde functies in die toepassing) uit te voeren, moet zich PERSOONLIJK aanmelden bij een NBB Registratie Authoriteit. 3.1.1. BEPALING VAN DE NAAM De naamvermelding in het certificaat heeft de vorm : Persoonlijke Certificaten (voor een fysische persoon binnen de rechtspersoon) Deze worden NIET uitgegeven aan externe zakenpartners Groep Certificaten (algemeen geldend voor de rechtspersoon) X509 NBB:nuin:xxx-yyyyyyyy-zz NBB - Data Security Management Page 7/11 Last Saved: 13.07.2007
xxx-yyyyyyyy-zz is een uniek identificatienummer binnen de NBB CA., genaamd de nuin (nbb unique identification number), teneinde een sluitende uniciteit te bekomen. De velden binnen deze nuin hebben de volgende betekenis : xxx = het nummer van de NBB RA die de registratie uitvoert yyyyyyyy = willekeurig nummer dat door de NBB toegekend wordt zz = een controlegetal (modulo 97 van xxxyyyyyyyy) 3.1.2. GEBRUIK VAN BETEKENISVOLLE NAMEN 3.1.3. REGELS VOOR DE INTERPRETATIE VAN NAMEN 3.1.4. UNICITEIT VAN EEN NAAM Zie 3.1.1., echter deze uniciteit wordt gewaarborgd door het gebruik van een uniek nummer. 3.1.5. GESCHILLEN BIJ DE NAAMBEPALING 3.1.6. HANDELSMERKEN 3.1.7. BEZIT VAN PRIVATE SLEUTEL VAN DE CERTIFICAATHOUDER Het proces van het aanmaken van de private sleutels en de creatie van het certificaat zal door de NBB tegenpartij uitgevoerd worden door middel van een browser toepassing (bijvoorbeeld een applet) die door de NBB aangeleverd wordt. Zie 4.2. 3.1.8. AUTHENTICATIE VAN HET BEDRIJF VAN DE CERTIFICAATHOUDER Zal door de NBB RA uitgevoerd worden op basis van de statuten en op basis van andere gegevens die over het bedrijf beschikbaar zijn bij de NBB. 3.1.9. AUTHENTICATIE VAN DE IDENTITEIT VAN DE CERTIFICAATHOUDER Zie 3.1.1 Het E-mail adres van de NBB tegenpartij KAN eveneens in het certificaat opgenomen worden. De NBB zal de ECHTHEID en de BRUIKBAARHEID van dit E-mail adres niet valideren. De NBB tegenpartij die een NBB certificaat wenst te bekomen dient zich persoonlijk bij een NBB RA aan te bieden, dit wil zeggen dat ENKEL de persoon die vermeldt staat op het aanvraagformulier zich kan aanbieden bij een NBB RA. 3.2. ROUTINEMATIGE WIJZIGING VAN DE SLEUTELS 3.3. HERNIEUWING VAN DE SLEUTELS NA REVOCATIE Zoals in 3.1 (initiële registratie). NBB - Data Security Management Page 8/11 Last Saved: 13.07.2007
3.4. VERZOEK TOT REVOCATIE Een verzoek tot revocatie kan door de NBB tegenpartij, die Certificaathouder is, gevraagd worden bij de NBB RA waar de oorspronkelijke registratie uitgevoerd werd. De redenen tot revocatie van een certificaat zijn : dat het niet meer nodig is dat de NBB tegenpartij over een NBB Certificaat beschikt doordat hij/zij geen NBB toepassingen meer zal uitvoeren. failliet of het ophouden van bestaan van de NBB tegenpartij. In dit geval ZAL de NBB RA (zelfs zonder verwittiging van de NBB tegenpartij) het certificaat onherroepelijk revoceren. 4. OPERATIONELE VEREISTEN 4.1. CERTIFICAAT AANVRAAG De aanvraag van een Certificaat gebeurt infeite impliciet als een NBB tegenpartij de aanvraag indient bij een NBB RA om een NBB toepassing uit te voeren. Aanvraagformulieren kunnen bij de NBB RA's of eventueel op de NBB website van de NBB toepassing bekomen worden. De NBB RA zal nadien de Certificaataanvrager uitnodigen voor FYSISCHE identificatie van de NBB tegenpartij en voor het overhandigen van het Paswoord en de Activatiecode die de NBB tegenpartij in staat moeten stellen om het certificaat aan te maken. 4.2. CERTIFICAAT UITGIFTE 4.2.1. INITIËLE AANVRAAG De aanvrager zal bij de NBB RA een "Paswoord" en een "Activatiecode" ontvangen. Met deze twee codes kan het certificaat gegenereerd worden. DEZE TWEE CODES ZIJN VERTOUWELIJK! De gebruiker dient het paswoord te wijzigen bij het initiëel aanloggen. Zowel het nieuw paswoord als de activatiecode dienen op een veilige plaats bewaard te worden. Werkwijze : zie document "NBB Operational Certificate Procedures Dutch" ( Initiële aanvraag). NBB - Data Security Management Page 9/11 Last Saved: 13.07.2007
4.2.2. WERKWIJZE INDIEN MEN REEDS OVER EEN CERTIFICAAT BESCHIKT De aanvrager zal hiervoor het gewijzigd paswoord (uit 4.2.1 ) en de bij de NBB RA ontvangen "Activatiecode" gebruiken. Met deze twee codes kan een NIEUW certificaat en erbij horende sleutels gegenereerd worden. Redenen voor deze hernieuwing zijn : Het opslagmedium (keystore) of het bestand (PKCS#12 formaat) dat het certificaat en de geheime sleutels bevat is om de één of de andere reden onleesbaar of verdwenen, of het paswoord dat dit opslagmedium (keystore) of het bestand beschermd is vergeten, of het paswoord is gekend door anderen dan de NBB tegenpartij. We denken hier meer bepaald aan groepcertificaten waarbij personeelsleden die de rechtspersoon verlaten kennis hebben van het paswoord dat het bestand met het certificaat en de sleutels beveiligd. 4.3. CERTIFICAAT AANVAARDING Door het gebruik van een Certificaat, uitgegeven door de NBB, verklaart de NBB tegenpartij zich akkoord met dit Certificate Practice Statement. 4.4. CERTIFICAAT REVOCATIE De voorvaarden om een certificaat te revoceren zijn vermeld in punt 3.4. De NBB tegenpartij dient hiervoor de NBB Registratie Autoriteit verwittigen. De NBB RA heeft daarenboven steeds het recht om elk door de NBB uitgegeven certificaat te revoceren. Alle gerevoceerde certificaten waarvan de geldigheidsperiode nog niet overschreden is, worden opgenomen in de CRL. 4.5. AUDIT PROCEDURES 4.6. ARCHIVERING 4.7. HERNIEUWEN VAN DE SLEUTELS (KEY RENEWAL) De certificaten en de sleutelparen worden door de certificaathouder manueel hernieuwd, nadat deze door de NBB RA op de hoogte gesteld wordt. Deze kennisgeving voor de hernieuwing zal tussen één en drie maanden vóór de vervaldatum van het certificaat overgemaakt worden. 4.8. COMPROMMITERING EN RAMPPROCEDURES NBB - Data Security Management Page 10/11 Last Saved: 13.07.2007
5. FYSISCHE, PROCEDURELE EN PERSONEEL VEILIGHEIDSCONTROLES 5.1. FYSISCHE VEILIGHEIDSCONTROLES 5.2. PROCEDURES 5.3. PERSONEEL 6. TECHNISCHE VEILIGHEIDSCONTROLES 7. CERTIFICAAT EN CRL PROFIELEN Het certificaat zal de volgende informatie bevatten : De vaste tekst X509 NBB:nuin: xxx-yyyyyyyy-zz zoals verklaard in 3.1.1 De publieke sleutel van de Certificaathouder Gebruik van het certificaat Authenticatie Digitale handtekening Encryptie De CRL is NIET consulteerbaar voor de NBB tegenpartijen. Het formaat van de CRL is CRLv2. 8. CPS ADMINISTRATIE De NBB kan eenzijdig deze CPS aanpassen. Deze aanpassingen kunnen als volgt aan de externe tegenpartijen meegedeeld worden: Via de Post waarbij u gevraagd wordt de gewijzigde CPS te ondertekenen; Via de Internet toepassing, waarbij u, naar aanleiding van een hernieuwing van uw certificaat u zich akkoord dient te verklaren met de CPS die op de site aanwezig zijn. Deze elektronische bevestiging heeft dezelfde waarde van een handtekening die geplaatst werd op een papieren versie. Wijzigingen aan deze CPS worden vermeld vooraan in "Document Historiek". De datum en het onderwerp zullen vermeld worden. NBB - Data Security Management Page 11/11 Last Saved: 13.07.2007