Política de Certificado
Contents
1. e reeeeeaceseesoraoeserammaneseseraeaseracnearactenneneraannana 70 71 24 Restri es DASICAS ssiscacsnsiisasicrepuiiiiidosianitidodestodeaieninsdiscradidire dividido Caspaiinisidiianiadardaidadaia 70 7 1 2 5 Utiliza o de chave prolongada s sssnesunsunnsununenunnnnunenunennnunuunununenununnunnnunenunennunnnenanena 70 7 1 2 6 Pontos de distribui o de LCR n e ereesersensaraceennemneraannanaa 71 7 1 2 7 Identificador de chave da autoridade nnnnnnnnnnnennnununnennnunununnnnnnnnnnnnunununnnnnnnnunnn nnn nna 71 7 1 2 7 Identificador de chave do titular do certificado snnnnunununnnnnnonnnenenunununnennnunnnnnnnnn 71 7 1 3 Identificadores de algoritmo s nsnssunununnonnnonuunnnnnnnunnenununununnennnnnununnnnnnnunnnnnnunununnen nnen nn nnaman nn 71 7 1 4 Formatos de nome siinismissascasicaisestrvais des stsstniidadoa dinida dada atauni nanana riasam uidaan asdasdas inas isa ada ceditannio 72 7 1 5 Restri es de nomes isisisi anaana naana araara aaa aara EUA Ea EAEan aaa Eara aanas 72 7 1 6 OID Object Identifier de Pol tica de Certificado nnsnsnsnnnnunnnnunnnnnunnnnnnnnnnnnunnnnnnnnununnnnnnnnnnnnnnnn 72 7 1 7 Uso da extens o Policy Constraints s sssensusenunenunennunnnunenenunnunununenunnnnnnunununennnnnnunenunenunen nunun 72 7 1 8 Sintaxe e sem ntica dos qualificadores de pol tica sssnnusnnnnunnunenennnnnunnenenunununnnnnnnnunnnnnnnnnnnn en2. Liberar chaves escrituradas de assinantes somente para solicita es de recupera o devida mente autenticadas e autorizadas e Revogar o par de chaves do Assinante antes da recupera o da chave de codifica o 1 A VeriSign pode sob circunst ncias limitadas hospedar KMSs em nome de um cliente corpora tivo Em tal cen rio o KMS atuar conforme descrito na se o 1 1 2 3 2 exceto pela parte nor malmente hospedada pela empresa agora hospedada em uma instala o segura da VeriSign A nica pessoa autorizada a recuperar chaves de codifica o escrituradas em nome da empresa s o os administradores da empresa O banco de dados de gerente de chave dever ser guardado em um local f sico separado do banco de dados que armazena o MSK O acesso da VeriSign ao banco de dados do Administrador de Chave ser restrito s Pessoas Autorizadas pelo uso de controle de acesso por senha e nome de usu rio duplo N o dever fornecer qualquer informa o sobre recupera o de chave ao assinante exceto quando o pr prio tenha solicitado a recupera o N o tornar p blico ou permitir a divulga o de chaves escrituradas ou informa es rela cionadas a Parte Confiante a menos que exigido por lei determina o governamental ou re gulamenta o pela pol tica organizacional da empresa ou por meio de mandato judicial da jurisdi o competente 1 1 2 3 3 Servi o de Roaming VeriSign O Servi o de Roaming Veri
3. e Procedimentos de seguran a operacional para o registro de auditorias reten o de registros e recupera o de desastres e Administra o f sica de pessoal gerenciamento de chaves e seguran a l gica e Certificado e conte do da Lista de Revoga o de Certificados e e Administra o da PC incluindo m todos de emenda Todavia a PC o primeiro de uma s rie de documentos relevantes VTN Estes outros documentos incluem e Documentos antigos de mbito operacional e de seguran a que complementam a PC fornecendo requisitos mais detalhados tais como Pol tica de Seguran a F sica da VeriSign que determina os princ pios de seguran a que regem a infra estrutura da VTN O Guia de Requisitos para Seguran a e Auditoria que descreve requisitos detalhados para a VeriSign e Afiliadas com rela o seguran a de pessoal f sica de telecomunica es l gica e de gerenciamento de chave criptogr fica 4 Guia de Pr ticas de Requisitos Legais da Afiliada que define os requisitos para a Afiliada determinar a funcionali dade de uma s rie de pr ticas e documentos legais que s o aceit veis em um idioma local cumprem com a legisla o local e refletem certos procedimentos localizados e para determinar uma pol tica privada e plano de valida o descrevendo como as Afiliadas autenticar o indiv duos e organiza es para cada classe e tipo de Certificados que planejam oferecer e Guia de Ref
4. 2 4 Interpreta o e Execu o Classe 1 3 2 4 1 Legisla o Sujeitas a quaisquer limites das leis aplic veis as leis do Estado da Calif rnia EUA governar o a aplicabilidade constru o interpreta o e validade desta PC independente do contrato ou outra op o de disposi o legal e sem a necessidade de estabelecer um nexo comercial na Calif rnia EUA Essa op o de legisla o feita para assegurar procedimentos e interpreta es uniformes de todos os participantes da VTN independente de sua localiza o Essa disposi o de legisla o em vigor aplica se somente a esta PC Os contratos que venham a incorporar esta PC por refer ncia podem ter suas pr prias disposi es legais uma vez que este par grafo 2 4 1 da PC rege a aplicabilidade constru o interpreta o e validade dos termos individuais da PC e separado das demais dispo si es de tais contratos sujeitos a quaisquer limita es aplic veis pela lei Esta PC est sujeita s leis regras regulamenta es mandatos decretos e ordens de mbito nacional estadual local e internacional incluindo sem limitar se s restri es em importa o e exporta o de software hardware ou informa es t cnicas 2 4 2 Individualidade Perman ncia em Vigor Incorpora o Notifica o Na medida da legisla o aplic vel os Contratos de Assinante e Parte Confiante dever o incluir cl usulas de individualidade perman ncia em vigor incor
5. nn errreerasaneraceseracramasaranannseacnameseranaeanaracnnaraa 17 1 3 3 Titulares do Certificado 2 0 02 0e02ese00s2emwsssesossosiassosscostasssdacoscdosstacasscascoasospendecaniasdbascasesseiicesassasa 17 1 3 4 Aplicabilidade sisassasissisiconisincaa andicodsidoriste nicobdadicriosa Sisdiiadaa do sadsal cosuadiiixita da ndni dani in anano i nanaii din unaia 18 1 3 4 1 Aplica es Adequadas n ee rrenecesensaraceeaneeteraaneracnaeracrannarar antena 18 1 3 4 1 1 Certificados de Classe 1 0 00sisosssssssrsessssssossecsacsesasospacradasassaenssenssanmadas 19 1 3 4 1 2 Certificados de Classe 2 aisia sa sosssessois500 a05o cs lacta casas deco fanis lefosaalasduadoania dad 19 1 3 4 1 3 Certificados de Classe 3 s zisssisssssscascasenessssessscessasaasscsasassanacascrssioscaasaascsansanes 19 Certificados Individuais de Classe 3 nn sreesrentanerana 19 1 3 4 2 Aplica es Restritas n no ieessesenaracesanaceeanemtnasaneracnaeracranaaneraannana 21 1 3 4 3 Aplica es Proibidas eee rnensesenseraceeaneamraaneracnaeracranaaneraantana 21 1 4 Dados de Contato ssaiasasiatisisisiessesiasorosiiedia dar adoda dia edoiiai bad id uia go nd sda atado uiasva Kansara Asiana risana anaana 22 1 4 1 Organiza o de Administra o de Especifica es nn nn ieereceerereneanenaanas 22 1 4 2 Pessoaide Contato ssiiimeissisvissaiienisassrritedasiaondofidito si d
6. 6 1 3 Entrega de chave p blica para o emissor de certificado Classe 1 3 Quando uma chave p blica transferida para um Cliente Gateway ou Centro de Processamento para ser cer tificada ela dever ser entregue atrav s de um mecanismo que assegure que a chave p blica n o foi alterada durante o tr nsito e que o Solicitante do Certificado possui a chave privada correspondente chave p blica transferida O mecanismo aceit vel dentro da VTN para a entrega de chave p blica o pacote de solicita o de assinatura de Certificado PKCS 10 ou um m todo equivalente que assegure que 1 1 A chave p blica n o foi alterada durante o tr nsito e 2 2 O Solicitante do certificado possui a chave privada correspondente chave p blica transferida Os Centros de Processamento realizando Cerim nias de Gera o de Chave para si Clientes de PKI Gerenciada Centros de Servi os e Clientes ASB dentro de seus respectivos Subdom nios dever o transferir a chave p blica do m dulo criptogr fico onde foi criada para o m dulo criptogr fico da AC superior mesmo m dulo cripto gr fico se uma APC envolvendo o em uma solicita o de assinatura de Certificado PKCS 10 6 1 4 Entrega de chave p blica da AC para usu rios Classe 1 3 A VeriSign e Afiliadas dever o disponibilizar as chaves p blicas de suas ACs e as ACs de Clientes de PKI Geren ciada Clientes Gateway e Clientes ASB a Parte Confiante e p blico em geral atrav s de Certific
7. Mesmo que a classe 1 Varejo al m da presen a pessoal e verifica o de uma ou mais credenciais de identifica o Procedimentos especializados de confirma o dependendo do tipo de Administrador A identidade do Administrador e a organiza o utilizando o Administrador s o confirmadas Veja tamb m 5 2 3 da PC Verifica o de banco de dados de Parte Confiante ou outros documentos que comprovem o direito de uso do nome da organiza o Inspe o de valida o por telefone ou procedimento similar para confirmar informa es e autoriza o da Solicita o de Certificado Em caso de Certificados de servidores da web a confirma o que o Solicitante de Certificado tem o direito de usar o nome do dom nio no Certificado Solicita es implementadas ou contempladas pelos Usu rios 8 1 3 4 1 da PC que exijam um n vel m dio de seguran a em compara o com as demais Classes como e mails de um indiv duo entre empresas assinaturas on line aplicativos de conta e substitui o de senha Melhora a seguran a do e mail por meio da criptografia de confidencialidade assinaturas digitais para autentica o e controle de acesso baseado na Web Aplicativos que exijam um alto n vel de seguran a em compara o com as demais Classes transa es banc rias on line acesso a bancos de dados corporativos e troca de informa es confidenciais Fun es do administrador
8. E Enn O EPE O Processamento acima dela na VTN no caso de um Centro de Servi os dever emitir o Certificado AC ou AR Afiliada ou Cliente em conformidade com o Guia de Refer ncia para Cerim nia de Chave o Guia de Requisitos de Seguran a e Auditoria e o par grafo 6 1 da PC 4 1 Aceita o de Certificado Classe 1 3 Centros de Processamento Centros de Servi os Cliente Clientes de PKI Gerenciada Clientes Gateway e Provedores ASB emitindo Certificados a Assinantes dever o seja de forma direta ou mediante de uma AR notificar os Assinantes com acesso aos Certificados notificando os tamb m de que seus Certificados est o dispon veis e sobre os meios de obten o do Certificado Se o Centro de Processamento n o estabeleceu um procedimento para notificar os Assinan tes de que um Certificado foi criado e que o Certificado est pendente e que os Assinantes podem recuperar o Cer tificado ent o os Centros de Servi o Servidor ou Clientes de PKI Gerenciada aprovando Solicita es de Certificados de Assinantes dever o faz lo Mediante a emiss o os Certificados dever o ser disponibilizados aos Assinantes seja permitindo seu download de um web site ou por uma mensagem enviada ao Assinante contendo o Certificado Por exemplo um Centro de Pro cessamento pode enviar ao Assinante um n mero PIN que dever ser inserido em uma p gina de inscri o em um web site para a obten o do Certificado O Certificado tamb m pod
9. consistir na verifica o que assegura que o nome distinto do Titular nico e inequ voco dentro do Subdom nio da VeriSign Afiliada ou Cliente Gateway Classe 1 A autentica o de classe 1 n o oferece garantias de identidade i e que o Assinante quem ele ela diz ser O nome comum do Assinante uma Informa o de Assinante n o verificada A autentica o de Classe 1 tamb m inclui uma confirma o limitada do endere o de e mail o ERTI e imprensaoficial 12 VTN_PC_1 indd 37 D 12 21 04 3 47 29 PM E JRERHE O EPE O do Solicitante de Certificado Os Centros de Servi os que oferecem Certificados de Classe 1 delegam estas fun es de autentica o a um Centro de Processamento A autentica o feita por Clientes de PKI Gerenciada e Clientes Gateway para Certificados de PKI Ge renciada Classe 1 incluem os procedimentos de autentica o supracitados que tamb m s o delegados s Entidades Superiores e finalmente a um Centro de Processamento Entretanto o Cliente de PKI Gerenciada ou Cliente Gateway deve determinar que o Solicitante de Certificado trata se de um In div duo Afiliada em rela o ao Cliente de PKI Gerenciada ou Cliente Gateway antes da aprova o da Solicita o de Certificado 3 1 9 2 Certificados Classe 2 A autentica o de Solicita es de Certificado de Classe 2 ocorre de duas maneiras Primeiro para Certificados de PKI Gerenciada Clientes de PKI Gerenciada e Clientes de PKI Gerenciada Lite u
10. es sobre a organiza o confirme que a organiza o autorizou a Solicita o de Certificado e confirmar que a pessoa submetendo a solicita o em nome do Solicitante de Certificado est autorizada a faz los e No caso de IDs de Servidor Global as verifica es adicionais necess rias para atender s re gulamenta es norte americanas de exporta o e licen as emitidas pelo U S Department of Commerce Bureau of Industry and Science BIS antes conhecido como Bureau of Export Administration BXA 3 1 8 1 2 Autentica o para PKI s gerenciadas para SSL ou PKIs Gerenciadas para SSL Premium Edition Com rela o s PKIs Gerenciadas para Clientes SSL e SSL Premium Edition o processo de confir ma o de identidade se inicia com a confirma o de identidade da VeriSign ou de uma Afiliada da PKI Gerenciada para o Cliente SSL ou PKI Gerenciada para o Cliente SSL Premium Edition conforme esta PC 3 1 8 2 Seguindo a confirma o a PKI Gerenciada para Cliente SSL ou a PKI Gerenciada para Cliente SSL Premium Edition respons vel pela aprova o da emiss o de Certificados aos servidores dentro de sua organiza es atrav s de e Confirma o de que o servidor designado como o Objeto da ID de Servidor Seguro ou ID de Servidor Global realmente existe e e Certifica o de que a organiza o autorizou a emiss o de uma ID de Servidor Seguro ou ID de Servidor Global para o servidor 3 1 8 1 3 Autentica o
11. o de Certificado ou para arbitrar mediar ou resolver quaisquer disputas referentes e propriedade de qualquer nome de dom nio denomina o marca registrada ou marca de servi o a VeriSign e suas Afiliadas se reservam o direito sem responsabilidades para com qualquer Solicitante de Certificado rejeitar ou suspender qualquer solicita o de certificado geradora de tal disputa 3 1 6 Reconhecimento autentica o e papel das marcas registradas Classe 1 3 Consulte o par grafo 3 1 5 da PC 3 1 7 M todo de comprova o de posse de chave privada Classe 1 3 O m todo para comprova o de posse de chave privada dever ser o m todo PKCS 10 outra demonstra o criptograficamente equivalente ou outro m todo aprovado pela VeriSign Esta exig ncia n o se aplica aos pares de chaves gerados por uma AC em nome de um Assinante por exemplo onde as chaves pr geradas s o armazenadas em cart es inteligentes 3 1 8 Autentica o da identidade da organiza o 3 1 8 1 Autentica o da identidade de assinantes de uma organiza o Classe 3 A identidade dos assinantes corporativos e outras informa es de registro fornecidas por Solicitan tes a Certificados exceto para Informa es de Assinantes N o verificadas dever o ser confirmadas conforme os procedimentos definidos no documento da VeriSign Procedimentos de Valida o Os procedimentos de avalia o das Afiliadas para a autentica o de identidade corporativa de
12. o de Certificado original Outros procedimentos bem como procedimentos aprovados pela VeriSign os requisitos de autentica o de uma Solicita o de Certificado original conforme a PC 88 3 1 8 1 3 1 9 dever ser utilizado na renova o de Certificado de Assinante A autentica o de uma solicita o de renova o de Certificado ASB Corporativo de Classe 3 entretanto requer o uso de uma frase de identifica o bem como procedimentos para uma Solicita o original de Certificado conforme a PC 8 3 1 8 1 3 3 2 2 Renova o de Certificados da AC Uma Entidade Superior da AC que aprova uma solicita o de Certificado de AC responsabilizar se pela autentica o da solicita o de renova o Os procedimentos de renova o dever o assegurar que uma G ERTI a imprensaoficial 12 VTN_PC_1 indd 39 amp 12 21 04 3 47 30 PM E JRERHE O mo mano organiza o que pretende renovar um Certificado de AC de um Centro de Processamento Centro de Servi os Cliente Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB de fato o Assinante do Certificado da AC Os procedimentos de autentica o dever o ser os mesmo que aqueles usados no regis tro original conforme rege o par grafo 3 1 8 2 da PC 3 3 Renova o de Chave Ap s Revoga o Classe 1 3 A renova o ap s a revoga o regida pelo par grafo 3 3 desta PC A renova o ap s revoga o n o ser permi tida por m se a revoga o ocorrer
13. 1 1 2 1 3 Programa Universal do Centro de Servi o Universal e Outros Programas para Revendedores ssssssusenunenunnunununununnunnuunununununnnnunununennnunnnnnn n 11 1 1 2 1 4 O programa Web Host nn craeenereceaeesrennenemeannarao 12 1 1 2 1 5 VeriSign Gateway Services ssusenuseneuenunenununnuunnununununnnnnnunununnnennununnnenunen nunnan 12 1 1 2 2 Servi os de Certifica o de Valor Agregado nn rseersrenearenaanor 12 1 1 2 2 1 Servi os de Autentica o n nn ererreraceaeesrennememeanneraos 12 1 1 2 2 2 Servi o de Cart rio Digital VeriSign nn ereeeererneraos 13 1 1 2 2 3 Plano de Prote o NetSuresM nn ceereesrennenearacenenaos 14 1 1 2 3 Tipos Especiais de Certificado n nn rraeraceeraeeesaneneanenanaa 14 1 1 2 3 1 Servi os de Certificados Wireless nn ceereeeerenaenenaa 14 1 1 2 3 2 Servi o de Gerenciamento de Chave PKI Gerenciada VeriSign 15 1 1 2 3 3 Servi o de Roaming VeriSign n ni eereeeceeeneneeraennerao 15 1 2 Identifica o e a E E r ssa dasstas desde s anin e 16 1 3 Comunidade e Aplicabilidade n cr eeereteracaneraceaeraoranasararaanneracraeraerannenrar anna 16 1 3 1 Autoridades Certificadoras 0 u 0 2ssessesossossscssosasandossonsaceseasssoasasoapanoandanis anna TA de isaapanassasasmandas 16 1 3 2 Autoridades de Registro
14. 4 4 4 Prazo para solicita o de revoga o As solicita es de revoga o devem ser enviadas assim que poss vel dentro do per odo comercial razo vel 4 4 5 Circunst ncias para suspens o A VTN n o oferece servi os de suspens o de Certificados de Assinantes 4 4 2 Quem pode solicitar a suspens o N o se aplica 4 4 7 Procedimento para solicita o de suspens o N o se aplica 4 4 8 Limites no per odo de suspens o N o se aplica 4 4 9 Freqii ncia de emiss o de LCR se aplic vel A VTN oferece Listas de Certificados Revogados LCR mostrando a revoga o de Certificados da VTN e ofe recendo servi os de verifica o de status atrav s do Reposit rio da VeriSign e Afiliadas As LCRs de Certificados de Assinantes dever o ser emitidas ao menos uma vez ao dia As LCRs de Certificados de AC dever o ser emiti das a cada quinzena por m sempre que um Certificado de AC for revogado As LCRs de ACs raiz de Assinatura Autenticada de Conte do ACS Authenticated Content Signing s o anualmente publicadas e sempre que um Certificado de AC for revogado Caso um Certificado apresentado na LCR expire ele pode ser removido a partir da pr xima edi o das LCRs ap s sua expira o 4 4 10 Requisitos para verifica o de LCR As terceiras partes Parte Confiante dever o verificar o status dos Certificados nos quais confiam Um m todo pelo qual Parte Confiante poder o verificar o status de um
15. A tabela abaixo mostra as poss veis Entidades Superiores corresponden tes a cada Solicitante de Certificado de AC 36 imprensaoficial D 12 21 04 3 47 28 PM E JRERHE O EPE O A Entidade Superior dever autenticar a identidade da futura Afiliada Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB antes da aprova o final de seu status como AC ou AR exceto onde a VeriSign ou uma Afiliada delegue tal responsabilidade a um Centro de Servi o Universal ou Revendedor Onde ocorrer tal delega o o Centro de Servi os Universal ou Revendedor dever autentica a identidade do futuro Clien te de PKI Gerenciada Para os fins desta PC a VeriSign ou a Afiliada permanece sendo a Entidade Superior em vez do Centro de Servi os Universal ou Revendedor Os procedimentos de Afiliadas para a autentica o da identidade da organiza o de Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB dever o ser submetidas VeriSign para aprova o e tal aprova o uma condi o para que uma Afiliada possa iniciar suas opera es como provedora de PKI Gerenciada servi os Gateway ou ASB conforme for o caso Os proce dimentos de Centros de Servi o Universal e Revendedores para a autentica o da identidade organizacional dever ser submetida VeriSign para aprova o sendo esta aprova o uma condi o para que uma Afi liada possa iniciar suas opera es como provedora de PKI Gerenciada servi os Gateway ou ASB conforme for
16. Severa em si mesma em uma Afiliada Cliente no caso da VeriSign ou Entidade Superior quela a ser submetida auditoria tenha motivos para crer que a entidade sendo auditada falhou no cumprimento dos Padr es VTN passou por um incidente ou Comprometimento ou agiu ou falhou em tomar as medidas necess rias que resultaram na falha da entidade sob auditoria o incidente ou Comprometimento ou ato ou falha em agir configura um risco real ou potencial seguran a ou integridade da VTN e A VeriSign ter o direito de realizar Revis es Adicionais de Gerenciamento de Risco em si mesma em uma Afi liada ou Cliente seguindo descobertas incompletas ou excepcionais em uma Auditoria de Conformidade ou como parte do processo geral de gerenciamento de risco no curso normal dos neg cios o ERTI ne imprensaoficial 12 VTN PC t indd 30 D 12 21 04 3 47 25 PM E TEEN O EEE O A VeriSign ter o direito de delegar a realiza o de tais auditorias revis es e investiga es Entidade Superior da entidade sob auditoria revis o ou investiga o ou por uma terceira firma de auditoria externa As entidades que est o sujeitas a auditorias revis es ou investiga es dever o cooperar com a VeriSign e com a equipe realizando a auditoria revis o ou investiga o 2 7 1 Frequ ncia da Auditoria de Conformidade Classe 1 3 As Auditorias de Conformidade dever o ser realizadas anualmente com as despesas cobertas pela entidade sujeita
17. a e Auditoria no caso da VeriSign e Afiliadas 5 1 8 C pias de seguran a em local externo Classe 1 3 A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o manter c pias de seguran a de dados importantes do sistema ou qualquer outro tipo de informa es importantes incluindo dados de audi toria em uma instala o segura e fora do local conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas 5 2 Controles Procedimentais 5 2 1 Perfis qualificados Funcion rios contratados e consultores que s o designados para gerenciar a confiabilidade estrutural dever o ser considerados como Pessoas Qualificadas prestando servi os em uma Posi o Qualificada Pessoas com a pretens o de se tornarem Pessoas Qualificadas atrav s da obten o de uma Posi o Qualificada dever o atender aos crit rios de enquadramento dispostos na PC 5 3 5 2 1 1 Perfis Qualificados de Cliente Gateway Classe 1 e Centro de Processamento Classe 1 3 Os Centros de Processamento e Clientes Gateway dever o considerar as categorias de seus funcion rios identificadas nesta Se o como Pessoas Qualificadas que t m uma Posi o Qualificada As Pessoas Confi veis s o todos os funcion rios contratados e consultores que t m acesso ou controlam opera es de autentica o e opera es criptogr ficas que possam materialmente afetar e a valida o das informa es nas Sol
18. auditoria 2 7 2 Identifica o e Qualifica es do Auditor Uma firma de auditoria externa dever realizar as Auditorias de Conformidade da VeriSign Afiliadas e Clientes de PKI Gerenciada aprovando 100 cem ou mais Solicita es de Certificado dentro de um per odo de 12 doze meses As Auditorias de Conformidade de Clientes Gateway Classe 1 ou outros Clientes de PKI Gerenciada que aprovam Solicita es de Certificado de Classe 1 ou 2 ou inferior a 100 cem Solicita es de Certificado de Classe 3 poder o realizar sua pr pria auditoria sujeitas s limita es dispostas no par grafo 2 7 2 1 da PC 2 7 2 1 Equipe Realizando Auditorias Internas Classe 1 3 As Auditorias de Conformidade s o auditorias internas de Clientes Gateway ou Clientes de PKI Ge renciadas que aprovam Solicita es de Certificado de Classe 1 ou 2 ou aprovam menos que 100 cem Solicita es de Certificado de Classe 3 dever o ser realizadas por uma pessoa dentro da entidade sen do auditada que seja organizacionalmente independente do Administrador Gateway Administrador de PKI Gerenciada Administrador de Gerenciador de Chave ou outros Administradores realizando fun es de ACs e ARs A VeriSign recomenda que a auditoria seja conclu da pelo departamento de auditoria interna da entidade se houver Caso a empresa sendo auditada n o possa contratar uma pessoa organizacionalmente independente de tal Administrador com as habilidades necess rias para con
19. es de Certificado solicita es de revoga o ou de renova o ou informa es de inscri o e o processamento de solicita es de revoga o de Certificados ou e ou que lidem com o processamento de informa es ou solicita es do Assinante Pessoas Qualifi cadas incluem tamb m qualquer pessoa identificada como tal no Guia de Requisitos de Seguran a e Auditoria no caso de Centros de Servi o As Pessoas Qualificadas incluem por m n o se limitam a funcion rios de servi o do cliente pessoal de administra o de sistema pessoal de engenharia desig nado e executivos que possam ser designados para gerenciar a fiabilidade infra estrutural 5 2 1 3 Perfis Qualificados de Clientes ASB Classe 2 3 Os Clientes ASB dever o considerar seus Administradores de AC que autenticam solicita es de revo ga o para seus Assinante e comunicam tais solicita es aos Clientes ASB como sendo Pessoas Quali ficadas em uma Posi o Qualificada 5 2 2 N mero de pessoas necess rias por tarefa Classe 1 3 A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o estabelecer manter e aplicar procedimentos r gidos de controle para assegura a segrega o das tarefas baseada na responsabilidade do trabalho e para assegurar que v rias Pessoas Qualificadas executem tarefas cr ticas em conformidade com o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas 5 2 3 Identifica o
20. es incluem a identifica o da Cadeia de Certificados e verifica o de assinaturas digitais em todos os certificados na cadeia de certificados Os Parte Confiante n o dever o contar com um Certificado a menos que os procedimentos de verifica o sejam executados com xito Os Parte Confiante dever o tamb m verificar o estado de um Certificado no qual desejam confiar bem como todos os Certificados na cadeia de Certificados conforme os par grafos 88 4 4 10 4 4 12 da PC Se um dos Cer tificados na Cadeia de Certificados tiver sido revogado a Terceira Parte n o dever confiar no Certificado de assinante ou outro certificado revogado na cadeira de certificados Finalmente os Parte Confiante dever o avaliar os termos do Contrato de Assinante e Contrato de Parte Con fiante como condi o de uso ou confian a nos Certificados Parte Confiante que tamb m s o Assinantes con cordam com os termos aplic veis a Parte Confiante termos de exonerabilidade de garantia e limita es de responsabilidades ao concordar com um Contrato de Assinante Se todas as verifica es supracitadas forem bem sucedidas a Terceira Parte poder contar com o Certificado com a condi o de que a confian a no Certificado seja razo vel mediante as circunst ncias Caso as circunst ncias o ERTI imprensaoficial 12 VTN_PC_1 indd 23 D 12 21 04 3 47 21 PM E TEEN O EEE O indiquem a necessidade de garantias adicionais a Terceira Parte dever obter tais
21. o correta para uso 6 6 2 Controles de gerenciamento de seguran a 6 6 2 1 Software Usado por Clientes Gateway Classe 1 Sem estipula o JERTI 68 imprensaoficial 12 VTN_PC_1 indd 68 D 12 21 04 3 47 46 PM E Enn O mo mano 6 6 2 2 Software Usado por Clientes de PKI Gerenciada Centros de Servi o e Centros de Processamento O software para fun es de AC e AR criado para gerenciar Certificados de Classe 2 ou 3 estar sujeito a verifica es de integridade A VeriSign dever fornecer um hash de todos os pacotes de software ou atualiza es que sejam fornecidas aos Clientes de PKI Gerenciada Centros de Servi os e Centros de Processamento Este hash pode ser usado para verificar manualmente a integridade de tal software Os Centros de Processamento dever o tamb m contar com mecanismos e ou pol ticas para o controle e monitora o da configura o de seus sistemas de AC Na instala o e pelo menos uma vez ao dia os Centros de Processamento dever o validar a integridade do sistema da AC 6 6 3 Classifica es de Seguran a de Ciclo de Vida Sem estipula o 6 7 Controles de Seguran a de Rede Classe 1 3 A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o realizar as fun es de AC e AR usando redes seguras conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas para evitar o acesso n o autorizado viola o e ataques de DoS nega o de servi
22. o de AR dever o ser realizadas dentro da Camada 2 ou superior Clientes de PKI Gerenciada utilizando o servi o de Administra o Automatizada dever o colocar o servidor de Administra o Automatizada na Camada 3 ou superior Al m disso os Clientes de PKI Gerenciada cujos Assinantes estiverem usando o Servi o de Roaming VeriSign dever o possuir quatro camadas de prote o f sica Camadas de 1 a 4 Os Servi os Corporativos de Roaming Servers dever o ser colocados na Camada 4 ou superior Todas as instala es de Clientes de PKI Gerenciada dever o ser constru das com material que obstruir impedir detectar a penetra o p blica ou secreta 5 1 1 3 Requisitos para Centros de Servi o Classe 1 3 Os Centro de Servi os dever o construir as instala es de alojamento para as fun es de AR com pelo me nos quatro camadas de prote o f sica Camadas de 1 a 4 Os Centros de Servi o dever o realizar todas as fun es de AR dentro da Camada 3 ou superior Os Centro de Servi os dever o disponibilizar os sistemas de Servi os de Informa es necess rios ao apoio das fun es de AC e AR na Camada 4 ou superior As instala es dos Centros de Servi o dever o ser constru das com material capaz de obstruir prevenir e detectar a infiltra o secreta ou p blica As instala es dos Centros de Servi os dever o atender aos requisitos m nimos de constru o de Centros de Servi os determinados no Guia de Requisitos de
23. onde a entidade possui neg cios ou outros registros que forne am provas adequadas da identidade da pessoa Cliente ASB Uma entidade que contrata a VeriSign ou uma Afiliada para obter Servi os do ASB Authentication Service Bureau centro de servi os de autentica o Um Cliente ASB Customer uma Ac e nomeado como tal nos Certificados emitidos por sua AC por m terceiriza todas as fun es de AC a um Provedor ASB Provedor ASB Uma entidade seja a VeriSign ou Afiliada que oferece servi os ASB Authentication Service Bureau para clientes ASB Um Provedor ASB age como um provedor terceirizador de fun es secund rias para o Cliente ASB e como uma AR Authentication Service Um servi o dentro da VTN onde a VeriSign ou uma Afiliada realizam a maioria das fun es Bureau secund rias de AC e fun es prim rias de AR em nome de uma organiza o M dulo de Software Um procedimento onde as Solicita es de Certificado s o aprovadas automaticamente quando as informa es de inscri o coincidem com asinforma es contidas em um banco de dados M dulo de Software Software fornecido pela VeriSign que realiza a Administra o Automatizada para Administra o Automatizada Certificado Uma mensagem que no m nimo declara um nome ou identifica a AC identifica o Assinante cont m a chave p blica do assinante identifica oPer odo Operacional do Certificado cont m um n mero de s rie de certificado e digitalmente assinad
24. os certificados clientes s o voltados para aplica es clientes e n o devem ser utilizados como certificados de servidor ou corporativos Cer tificados corporativos de classe 3 emitidos para dispositivos limitam se s fun es de servidores da web e prote o de sess es SSL TLS no caso de IDs de servidor seguro e global sess es OFX no caso de cer tificados OFX e assinatura de objetos no caso de Certificados de assinatura de objetos Certificados de Administradores dever o ser utilizados apenas para executar fun es de Administrador Com rela o aos Certificados VTN X 509 Vers o 3 a extens o de uso de chave dedica se a limitar as finalidades t cnicas para as quais a chave privada correspondente chave p blica em um Certificado possa ser utilizada dentro da VTN Consulte o par grafo 6 1 9 Adicionalmente os Certificados de As sinantes n o devem ser usados como Certificados de ACs Esta restri o confirma se pela aus ncia de uma extens o Basic Constraints Consulte o par grafo 7 1 2 4 A efic cia das limita es baseadas em extens o est sujeita opera o do software fabricado ou controlado por outras entidades que n o a VeriSign De forma geral os certificados dever o ser usados conforme o escopo de uso consistente com a legis la o aplic vel particularmente dever ser usado somente para as finalidades permitidas pelas leis de importa o e exporta o 1 3 4 3 Aplica es Proibidas Os certifi
25. s receber acesso ao Certificado O novo Assinante concorda com os termos e obriga es determinados no Contrato do Assinante c Conformidade com os Padr es Aplic veis A estrutura desta PC corresponde em geral Internet X 509 Public Key Infrastructure Certificate Policy and Certi fication Practices Framework conhecida como RFC 2527 da IETF Internet Engineering Task Force uma ag ncia de normatiza o da Internet Este documento serve para definir tr s pol ticas de certificado dentro do escopo do RFC 2527 A estrutura do RFC 2527 framework se tornou um padr o na ind stria de infra estrutura de chave p blica Esta PC cumpre com a estrutura do RFC 2527 para fazer o mapeamento de pol ticas e compara es avalia es e interope ra es mais f ceis para pessoas usando ou considerando utilizar os servi os da rede VTN A PC da VeriSign baseia se na estrutura do RFC 2527 onde poss vel n o obstante algumas poucas varia es em t tulos e detalhes tornaram se necess rias devido complexidade dos modelos de neg cios da VTN Enquanto a VeriSign pretende continuar a pol tica de ades o ao RFC 2527 no futuro a VeriSign se reserva o direito de variar da estrutura RFC 2527 conforme necess rio por exemplo para melhorar qualidade da PC ou sua adequabilidade rede VTN Adi cionalmente a estrutura da PC n o pode corresponder a vers es futuras da RFC 2527 d Interopera o com Outras PKIs A VeriSign poder considera
26. tros tipos de viola o n o autorizadas 4 5 5 Procedimentos para c pias de seguran a de registro de auditoria Classe 1 3 C pias de seguran a adicionais dos registros de auditoria dever o ser diariamente criadas com a produ o semanal completa de c pias de seguran a 4 5 6 Sistema de coleta de dados de auditoria Classe 1 3 Sem estipula o 4 5 7 Notifica o de agentes causadores de eventos Classe 1 3 Quando um evento registrado pelo sistema de coleta de dados de auditoria n o preciso notificar o indiv duo organiza o dispositivo ou aplicativo que tenha causado o evento 4 5 8 Avalia es de vulnerabilidade Classe 1 3 Os eventos no processo de auditoria s o registrados em parte para monitorar as vulnerabilidades do sistema As avalia es l gicas de vulnerabilidade de seguran a LSVAs dever o ser realizadas revistas e revisadas seguido de uma avalia o destes eventos monitorados As LSVAs tomar o como base os dados de registro autom tico em tempo real e dever o ser executadas diariamente mensalmente ou anualmente conforme suas defini es nos Requisitos de Seguran a e Auditoria Uma LSVA anual servir como uma entrada para uma Auditoria de Conformidade anual de uma entidade G ERTI i imprensaoficial 12 VTN_PC_1 indd 48 D 12 21 04 3 47 35 PM E FREHE O EEE O 4 6 Arquivamento de registros Classe 1 3 4 6 1 Tipos de eventos registrados Os registros dever o ser
27. 04 3 47 53 PM VeriSign Significa com rela o s partes pertinentes desta DPC VeriSign Inc e ou subsidi ria VeriSign respons vel por opera es espec ficas de emiss o Servi o de Notariza o Um servi o oferecido a Clientes de PKI Gerenciada que fornece uma seguran a prova Digital VeriSign digitalmente assinada um Recibo Digital que certo documento ou conjunto de dados existiram em certo momento Reposit rio VeriSign Banco de dados da VeriSign e outras informa es relevantes da VTN acess veis online Servidor Roaming Um servidor residente no Centro de Processamento da VeriSign junto com o servi o VeriSign Roaming para manter parte das chaves sim tricas usadas para criptografar e decriptografar as chaves privadas de Assinantes Roaming Servi o Roaming VeriSign Servi o oferecido pela VeriSign que permite a um Assinante fazer o download da chave privada e realizar opera es em terminais lidif Pol tica de Seguran a O documento mais importante que descreve as pol ticas de seguran a da VeriSign VTN VeriSign Trust A Infra estrutura de Chave P blica baseada em Certificado regida pelas Pol ticas de Network Certificado da VeriSign Trust Network que permite a implementa o e uso global dos Certificados pela VeriSign e suas Afiliadas e seus respectivos Clientes Assinantes e Parte Rede de Confian a da Confiante VeriSign Participante VTN Um indiv duo ou organiza o que tem um ou mais dos pap is de
28. 4 9 4 4 12 Requisitos para verifica o de revoga o on line Se uma terceira parte n o verifica o estado de um Certificado em que deseja confiar atrav s da consulta da LCR mais recente esta terceira parte dever verificar o estado do Certificado atrav s da consulta do reposi t rio aplic vel ou solicitando o estado do Certificado usando o OCSP responder onde houver servi os OCSP dispon veis 4 4 13 Outras formas dispon veis para divulga o de revoga o Sem estipula o 4 4 14 Requisitos para verifica o de outras formas de divulga o de revoga o Sem estipula o 4 4 15 Requisitos especiais para o caso de comprometimento da chave Os participantes da VTN dever o ser notificados sobre qualquer Comprometimento real ou potencial da chave privada da AC usando dos recursos comercialmente vi veis A VeriSign e Afiliadas dever o utilizar todos os recursos comercialmente vi veis para notificar Parte Confiante potenciais caso descubram ou tenham motivos para crer que houve um Comprometimento da chave privada de uma de suas ACs ou uma das ACs dentro de seus subdom nios 4 5 Procedimentos de auditoria de seguran a 4 5 1 Tipos de eventos registrados Os tipos de eventos de auditoria que devem ser registrados por cada entidade s o definidos abaixo Todos os registros logs em formato eletr nico ou manual dever o conter a data e hora do evento a identidade da entidade que causou o evento 4 5 1 1
29. Certificado atrav s da consulta da LCR o ERTI a imprensaoficial 12 VTN PC 1 indd 45 D 12 21 04 3 47 33 PM E JRERHE O EEE O mais recente da AC que emitiu ou Certificado em que esta terceira parte deseja confiar Alternativamente Parte Confiante poder o atender a esta exig ncia seja pela verifica o de status do Certificado usando o re posit rio da Web aplic vel ou usando o OCSP se dispon vel A VeriSign e Afiliadas dever o fornecer a Parte Confiante informa es sobre como localizar a LCR adequada reposit rio na Web ou OCSP responder quando dispon vel para verificar o andamento da revoga o 4 4 11 Disponibilidade para revoga o ou verifica o de status on line A revoga o on line e outras informa es de status de Certificado dever o estar dispon veis mediante de um reposit rio na Internet e onde oferecido no OCSP A VeriSign e Afiliadas dever o dispor de um reposit rio na Web que permita a Parte Confiante fazer consultar online com rela o revoga o e outras informa es de status de Certificado Um Centro de Processamento como parte de seu contrato com um Centro de Servi os dever hospedar o reposit rio para o Centro de Servi os A VeriSign e Afiliadas dever o fornecer a Parte Con fiante informa es sobre como localizar o reposit rio adequado para verificar o estado do Certificado e se o OCSP estiver dispon vel como localizar o OCSP responder correto Consulte o par grafo 4
30. Eventos Registrados por Centros de Processamento Os Centros de Processamento dever o registrar em arquivos de registro log os eventos relacionados seguran a do sistema da AC tais como e Inicializa o e desligamento do sistema e Inicializa o e desligamento do aplicativo da AC e Tentativas de cria o remo o gera o de senhas ou altera o nos privil gios de sistema de usu rios privilegiados fun es de confian a e Altera es nos detalhes e ou chaves da AC e Altera es nas pol ticas de cria o de Certificado por exemplo per odo de validade o ERTI g imprensaoficial 12 VTN_PC_1 indd 46 amp 12 21 04 3 47 34 PM E TEEN O EEE O ad ERTISIGN 12 VTN PC 1 indd 47 e Tentativas de acesso login e sa da logoff e Tentativas n o autorizadas no acesso de rede ao sistema da AC e Tentativas n o autorizadas de acesso a arquivos de sistema e Gera o de chaves pr prias de ACs e autoridades certificadores subordinadas e Falha nas opera es de leitura e escrita de Certificado e reposit rio e Eventos relacionados administra o do ciclo de vida do Certificado por exemplo solicita es emiss es revoga es e renova es de Certificados e e Eventos relacionados administra o do ciclo de vida do m dulo criptogr fico por exemplo recibo uso desinstala o e remo o Os Centros de Processamento dever o coletar e consolidar seja de forma eletr nica ou manu
31. PC 5 1 2 1 e aos Requisitos do Centro de Servi os definidos no Guia de Requisitos de Seguran a e Auditoria 5 1 2 3 Requisitos para Centros de Processamento Classe 1 3 Os Centro de Processamento dever o controlar o acesso s instala es de suas ACs e ou ARs e atender aos requisitos da PC 5 1 2 1 e aos Requisitos do Centro de Processamento definidos no Guia de Re quisitos de Seguran a e Auditoria 5 1 3 Energia e ar condicionado Classe 1 3 As instala es seguras da VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o ser equipa das com sistemas de fornecimento de energia reserva para garantir o fornecimento cont nuo de energia el trica Estas instala es de seguran a tamb m devem ser equipadas com sistemas principal e reserva de aquecimento ventila o refrigera o de ar para o controle de temperatura e umidade relativa Tais sistemas dever o atender aos requisitos do Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas 5 1 4 Exposi o gua Classe 1 3 As instala es seguras da VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o ser constru das e equipadas procedimentos dever o ser implementados para evitar inunda es e outros danos causados pela ex posi o gua conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas o ERTI da imprensaoficial 12 VTN_PC_1 indd 53 amp 12 21 04
32. Secret Shares s o protegidas conforme o disposto no 6 4 2 da PC 6 2 3 Recupera o escrow da chave privada Classe 1 3 Clientes de PKI Gerenciada utilizando o servi o de Gerenciador de Chave de PKI Gerenciada ou um servi o equivalente aprovado pela VeriSign poder o recuperar chaves privadas de Assinantes conforme descrito na PC 81 1 2 3 2 As chaves privadas recuperadas dever o ser guardadas de forma codificada usando o software do Gerenciador de Chave de PKI Gerenciada Com exce o dos Clientes de PKI Gerenciada usando o servi o de Gerenciador de Chave de PKI Gerenciada ou um servi o equivalente aprovado pela VeriSign as chaves priva das das ACs ou Assinantes n o devem ser recuperadas As chaves privadas dos Assinantes dever o ser recuperadas sob circunst ncias permitidas pelo Guia do Admi nistrador de Servi os de Administra o de Chaves de PKI Gerenciada onde e Clientes de PKI Gerenciada usando o Gerenciador de Chaves de PKI Gerenciada dever o confirmar a identi dade de qualquer pessoas dizendo ser o Assinante para assegurar que uma solicita o falsa da chave privada do Assinante de fato do Assinante e n o um impostor Tais Clientes de PKI Gerenciada dever o recuperar a chave privada do Assinante sem sua solicita o somente para fins leg timos e legais como o cumprimento de processo judicial ou administrativo mandato de busca e n o para fins ilegais fraudulentos ou ofensivos Tais Cliente
33. Varejo individual Centro de Processamento ou Centro de Processamento Classe 3 Centro de Servi o Certificado de Administrador Centro de Processamento ou Centro de Processamento Classe 3 Centro de Servi o G ERTI hd limprensaoficial 12VTN PC finda 41 D 12 21 04 3 47 31 PM Certificados de Varejo corporativos VeriSign ou Centro de Servi o Classe 3 Certificados de PKI Gerenciada PKI Gerenciada Classe 3 para VeriSign corporativa Classe 3 PKI Cliente SSL ou SSL Premium Gerenciada para SSL ou SSL Edition Premium Edition Certificado ASB corporativo Classe Provedor ASB Centro de Centro de Processamento 3 Processamento ou Centro de Servi o Tabela 7 Entidades Recebedoras de Solicita es de Certificado 4 1 2 Solicita o de Certificados de ACs e ARs Esta PC n o requer que Afiliadas ou Cliente que s o assinantes de Certificados AC ou AR completem as Solici ta es formais de Certificado Em vez disso eles devem assinar um contrato com suas Entidades Superiores ou Centros de Servi os Universais ou Revendedores de suas Entidades Superiores Consulte o par grafo 3 1 8 2 da PC Os candidatos a AC e AR dever o fornecer credenciais conforme exige o par grafo 3 1 8 2 da PC para demonstrar sua identidade e fornecer informa es de contato durante o processo de contrata o Durante este processo de contrata o antes da Cerim nia de Gera o de Chave para criar o par de chaves de um Centro de Processamento Centro
34. a prote o de chave privada de Clientes Gateway exigem e uso de senha ou medida de seguran a equivalente conforme a PC 6 4 1 3 para autenticar o Cliente Gateway antes da ativa o da chave privada que est associada a uma conta com privil gios de administrador no servidor Gateway e medidas comercialmente dispon veis para a prote o f sica do servidor Gateway evitando o uso do servidor e da chave privada associada ao servidor sem a autoriza o do Cliente Gateway Uma vez ativada ela fica ativada por um per odo indefinido at sua desativa o quando o sistema de AC Gateway entra offline 6 2 7 4 Chaves Privadas Mantidas por Centros de Processamento Classe 1 3 Esta se o se aplica pr pria AC de um Centro de Processamento e das ACs dos Centros de Servi os Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seu Subdom nio Uma chave privada o ERTI es imprensaoficial 12 VTN_PC_1 indd 63 D 12 21 04 3 47 43 PM E TEEN O EEE O online de AC dever ser ativada por um n mero limite de Shareholders conforme definido no 8 6 2 2 fornecendo seus dados de ativa o armazenados em m dia protegida Uma vez ativada a chave privada pode ser ativada por um per odo indefinido at que seja desativada quando a AC fica offline De forma similar um n mero limite de Shareholders ser necess rio para fornecer seus dados de ativa o para ativar uma chave privada de AC offline Uma vez ativada a chav
35. blica fornecida o Centro de Processamento ou Cliente Gateway e e manifestar aquiesc ncia ao Contrato de Assinante relevante Os Web Hosts poder o submeter Solicita es de Certificado em nome de seus clientes de acordo com o Programa Web Host veja PC 8 1 1 2 6 As Solicita es de Certificado s o enviadas a um Centro de Processamento Centro de Servi os Cliente de PKI Gerenciada ou Cliente Gateway para o processamento e aprova o ou rejei o final A entidade que processa a Solicita o de Certificado e a entidade emissora do Certificado conforme a PC 8 4 2 podem ser duas entidades distintas conforme mostrado na tabela a seguir Classe de Certificado Entidade Processadora de Entidade Emissora de Certificado Solicita es de Certificado Certificado Individual de Varejo Centro de Processamento ou Centro de Processamento Classe 1 Centro de Servi os Certificado Individual Classe 1 Cliente Gateway Cliente Gateway Gateway Certificado de PKI Gerenciada Cliente de PKI Gerenciada Classe 1 Centro de Processamento Classe 1 Individual Certificado Individual de Varejo Centro de Processamento ou Centro de Processamento Classe 2 Centro de Servi os Certificado ASB Individual Classe 2 Provedor ASB Centro de Centro de Processamento Processamento ou Centro de Servi o Certificado de PKI Gerenciada Cliente de PKI Gerenciada Classe 2 Centro de Processamento individual Classe 2 ou Cliente Lite PKI Gerenciada Certificado de
36. como uma AC para indiv duos ou organiza es que fazem solicita es individuais VeriSign ou uma Afiliada em seu site Assinante Roaming Um assinante que usa o servi o de roaming VeriSign Roaming Service onde sua chave privada criptografada e decriptografada com uma chave sim trica que dividida entre o Servidor VeriSign Roaming e um Servidor Roaming corporativo Sistema criptogr fico de chave p blica inventando por Rivest Shamir e Adelman RSA Secure Server Autoridade Certificadora que emite IDs de Servidor Seguro Certification Authority RSA Secure Server CA Hierarquiea RSA Secure A hierarquia de PKI composta pela Autoridade de Certifica o RSA de Servidor Seguro Server Secret Share Parte de uma chave privada de AC ou parte dos dados de ativa o necess rios para operar compartilhamento de uma chave privada de AC conforme disposto em um segredo Consistem em separar a chave privada de AC dados de ativa o que operam uma chave Secret Sharing compartilhamento de privada de AC para aplicar o controle multipessoal sobre as opera es de chave privada de segredo AC conforme a PC 6 2 2 ID de Servidor Seguro Um certificado corporativo de classe 3 usado no suporte s sess es de SSL entre navegadores e servidores Secure Sockets Layer M todo padr o da ind stria para proteger as comunica es via Internet SSL foi desenvolvida pela Netscape Communications Corporation O protocolo de se
37. da DPC da VeriSign e Afiliadas o ERTI i imprensaoficial 12 VTN_PC_1 indd 77 D 12 21 04 3 47 51 PM Certificado de PKI Gerenciada Cliente de PKI Gerenciada Cliente de PKI Gerenciada Center Centro de controle dePKI gerenciada Managed PKI Key Manager Gerenciador de chave PKI Gerenciada Managed PKI Key Management Service Administrator s Guide PKI Gerenciada Lite PKI Gerenciada para SSL PKI Gerenciada para Cliente SSL PKI Gerenciada para SSL Premium Edition PKI Gerenciada para Cliente SSL Premium Edition Cliente Lite de PKI Gerenciada Autentica o Manual Plano de Prote o NetSure Informa es n o verific veis do Assinante ad ERTISIGN 12 VTN PC 1 indd 78 O EEE O Um Certificado cuja Solicita o de Certificado foi aprovada por um Cliente de PKI Gerenciada Uma organiza o que obteve servi os de PKI Gerenciada fornecidos pela VeriSign ou uma Afiliada onde a organiza o se torna uma AC dentro da VTN para emitir Certificados cliente e ou servidor Os Clientes de PKIGerenciada terceirizam as fun es secund rias de emiss o gerenciamento e revoga o para a VeriSign ou Afiliada por m mant m consigo as fun es de AR para a aprova o ou rejei o de Solicita es de Certificado e iniciar as revoga es e renova es de Certificados Uma interface Web que permite a Administradores de PKI Gerenciada executar a Autentica o Manual de Solicita es de Cert
38. de AC ou AR em um m dulo criptogr fico e transferin do as para outro m dulo dever transferir as chaves de forma segura para o segundo m dulo criptogr fico na medida necess ria para evitar a perda roubo modifica o divulga o n o autorizada ou uso n o autorizado das chaves privadas Tais transfer ncias limitam se a realiza o das c pias das chaves privadas em tokens em conformidade com o Guia de Requisitos de Seguran a e Auditoria e o Guia de Refer ncia da Cerim nia de Chave As chaves privadas dever o ser criptografadas durante a transfer ncia Os Participantes da VTN que pr geram chaves privadas e as transfere para um dispositivo de controle de aces so por hardware token por exemplo transferindo as chaves privadas de um Assinante em um cart o inteligente dever transferir tais chaves de forma segura para o token na medida necess ria para evitar a perda roubo modifica o divulga o n o autorizada ou uso n o autorizado das chaves privadas 6 2 7 M todo de ativa o de chave privada Todos os participantes da VTN dever o proteger os dados de ativa o de suas chaves privadas contra perda roubo modifica o divulga o n o autorizada ou uso n o autorizado 6 2 7 1 Chaves privadas de assinantes Esta se o define os Padr es VTN para a prote o de dados de ativa o das chaves privadas de Assinan tes embora os Assinantes tenham a op o de usar os mecanismos avan ados de prote o
39. de Chave ge rados ser verificada conforme o padr o FIPS 186 2 ou um padr o equivalente aprovado pela PMA 6 1 8 Gera o de chave por hardware software Classe 1 3 Centros de Processamento dever o gerar pares de chaves Classe 2 e 3 para eles mesmos para Centros de Aten dimento ao Cliente Clientes de PKI Gerenciada ou Clientes ASB e os n meros aleat rios para tais pares de chaves em hardware A VeriSign recomenda que os pares de chaves de AC Classe 1 AC de Centro de Processa mento ou Cliente Gateway CA Administra o Automatizada AR Administrador e Assinantes sejam geradas por hardware embora tais pares de chaves possam ser gerados por hardware ou software 6 1 9 Finalidades de uso da chave conforme o campo key usage na X 509 v3 Classe 1 3 Para Certificados X 509 Vers o 3 Centros de Processamento e Clientes Gateway geralmente preenchem a extens o KeyUsage dos Certificados emitidos conforme o RFC 3280 Internet X 509 Public Key Infrastructure Certificate Certificado de Infra estrutura de Chave P blica e Perfil da LCR abril de 2002 A extens o KeyUsage nos Certificados VTN X 509 Vers o 3 deve ser configurada de forma que permita configurar set ou apagar clear bits a definir e apagar bits e o campo de criticalidade conforme apresentado na Tabela 8 abaixo embora seja permitida a configura o para o bit nonRepudiation para Certificados com assinatura de par de chaves duplo atrav s do Geren
40. de confian a Consequentemente esta PC exige que o bit nonRepudiation seja zerado embora ele possa ser definido em caso de Certificados com assinatura de par de chaves duplo emitido pelo Gerenciador de Chaves da PKI Gerenciada 6 2 Prote o da Chave Privada As chaves privadas dever o ser protegidas usando um Sistema Confi vel e portadores de chave privada dever o tomar as precau es necess rias para evitar a perda divulga o modifica o ou uso n o autorizado de tais Chaves Privadas conforme dita o par grafo 6 2 da PC o Guia de Requisitos de Seguran a e Auditoria no caso de VeriSign e Afiliadas Este requisito aplica se a Assinantes Clientes de PKI Gerenciada usando o Gerenciador de Chaves de PKI Gerenciada Clientes Gateway e Centros de Processamento que protegem suas pr prias chaves privadas e aqueles dos Centros de Atendimento ao Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seus respectivos Subdo m nios Os Assinantes t m a op o de proteger suas chaves privadas em um cart o inteligente smart card ou dispo sitivo de controle de acesso por hardware hardware token As chaves privadas de Assinantes em Roaming residem em um servidor Enterprise Roaming Server em um formul rio criptografado e chaves sim tricas para criptografar e decriptografar a chave privada s o divididas em duas residindo no servidor Roaming da VeriSign e o servidor Roa ming Enterprise A VeriSign e os Clientes de PKI Gerenciada d
41. de tempo da VeriSign sincronizado por meio de GPS com o Tempo Universal Coordenado UTC Enquanto a precis o do servidor de tempo de VeriSign de precisa em um segundo devido natureza de tr fego da Internet a hora mostrada em um Recibo Digital pode ser 30 segundos maior ou menor que o Tempo Universal Coordenado 1 1 2 2 3 Plano de Prote o NetSuresM O Plano de prote o NetSure uma programa de garantia extendida que se aplica ao Subdo m nio VeriSign da VTN e Subdom nios das Afiliadas participantes O Plano de Prote o NetSure oferece a Assinantes que recebem Certificados de Varejo Certificados ASB Individuais de Classe 2 e Classe 3 prote o contra incidentes como roubo corrup o preju zo ou revela o n o in tencional da chave privada do Assinante correspondendo chave p blica no Certificado bem como falsidade ideol gica e preju zos decorrentes do uso do Certificado do Assinante O Plano de Prote o NetSure tamb m fornece prote o a Parte Confiante quando estes necessitam de Certificados cobertos pelo Plano de Prote o NetSure O NetSure um programa fornecido pela VeriSign que contam com um seguro obtido de corretores comerciais Para informa es gerais sobre o Plano de Prote o NetSure e a rela o de Certificados cobertos pelo seguro consulte http Avww verisign com netsure A prote es do Plano de Prote o NetSure tamb m s o oferecidas mediante uma taxa a Clientes de PKI Gerenciada d
42. devido emiss o do Certificado outro certificado que n o os de Classe 1 por outra pessoa que n o aquela indicada como Objeto do Certificado ou da emiss o do Certificado classe 2 ou 3 sem a autoriza o da pessoa indicada como Objeto do Certificado ou a entidade que aprova a Solicita o de Certificado do Assinante descobre ou tem motivos para crer que um fato material na Solicita o do Certificado falso Sujeitos ao par grafo anterior a renova o de um Certificado corporativo ou de AC seguida da revoga o do Certi ficado permitida contanto que os procedimentos de renova o assegurem que a organiza o ou AC requerente da renova o de fato o Assinante do Certificado Certificados corporativos renovados dever o conter o mesmo nome distinto de Objeto que o Object que consta no Certificado sendo renovado A renova o de Certificado individual seguida da revoga o dever novamente assegurar que a pessoal que solicita a renova o de fato o Assinante Um procedimento aceit vel o uso de uma Frase de Desfio ou equivalente ou prova de posse da chave privada Para outros procedimentos diferentes deste bem como procedimentos aprovados pela VeriSign os requisitos para valida es de uma Solicita o de Certificado original conforme a PC 88 3 1 8 1 3 1 9 dever ser utilizado na renova o de Certificado seguido de revoga o 3 4 Solicita o de Revoga o Classe 1 3 Os procedimentos de revog
43. emitir Certificados para o p blico em geral 1 1 2 1 2 Programa de Afilia o VeriSign A VTN expande os servi os de certifica o e PKI da VeriSign em mbito global A VeriSign fechou parcerias com os principais provedores de com rcio eletr nico no mundo todo para oferecer servi os atendimento e suporte localizados ao Cliente Este provedores Afiliadas da VeriSign atuam como Parte Confiante de confian a dentro da rede VTN tornando a uma rede de confian a interoper vel e global constitu da por um sistema de provedores de servi os de autentica o distribu dos no mundo todo Afiliadas da VeriSign s o empresas l deres nos setores de tecnologia telecomunica es e servi os financeiros em seus respectivos pa ses ou territ rios As Afiliadas acrescentam a infra estrutura computacional experi ncia em telecomunica es centros de atendimento ao cliente e suporte a dados 7 dias por semana 24 horas ao dia inte gra o de sistemas e processamento de transa es seguras tecnologia de emiss o de Certifi cados VeriSign tornando se ACs e ARs dentro da rede VTN As Afiliadas oferecem presen a local da VTN em seus respectivos pa ses ou territ rios Eles co mercializam os servi os VTN em seus pa ses ou territ rios Al m disso as Afiliadas captam Clien tes e Assinantes celebram contratos com v rios participantes da VTN e oferecem suporte ao cliente a seus Clientes e Assinantes O Programa de Afilia o da VeriSi
44. emitiu o Certificado no caso de Centro de Servi os ou Clientes de PKI Gerenciada A comunica o de tais solicita es dever ser feita conforme disposto no par grafo 1 3 4 da PC Um Centro de Processamento Centro de Servi os Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB revogando um Certificado de Assinante por sua pr pria iniciativa dever revogar o Certificado no caso de Centros de Processamento ou Clientes Gateway ou solicitar a revoga o junto ao Centro de Processamento que emitiu o Certificado no caso de Centro de Servi os ou Clientes de PKI Gerenciada ou junto ao Provedor ASB no caso de Clientes ASB Um Provedor ASB revogando um Certificado de Assinante dever se incumbir da revoga o no caso de Provedores ASB que tamb m s o Centros de Processamento ou solicitar a revoga o ao Centro de Processamento que emitiu o Certificado no caso de Provedores ASB que s o Centros de Servi os 4 4 3 2 Procedimento para solicita o de revoga o de um certificado de uma AC ou AR A AC ou AR solicitando a revoga o dever comunic la a sua Entidade Superior Esta por sua vez de ver fazer a revoga o do Certificado no caso de Centros de Processamento ou solicitar a revoga o ao Centro de Processamento que emitiu o Certificado no caso de Centros de Servi os A Entidade Superior de uma AC ou AR revogando Certificados de ACs ou ARs por iniciativa pr pria dever o iniciar a revoga o da mesma maneira
45. garantias para que a con fian a seja considerada razo vel As Terceiras Partes n o dever o monitorar interferir ou aplicar a t cnica de engenharia reversa na implemen ta o t cnica da VTN exceto mediante aprova o pr via por escrito da VeriSign e tampouco dever o compro meter intencionalmente a seguran a da VTN 2 1 5 Obriga es do Reposit rio Na VTN n o h uma entidade distinta que fornece servi os de reposit rio Em vez a VeriSign e Afiliadas s o respons veis pelas fun es do reposit rio da seguinte maneira Centros de Processamento possuem um re posit rio para suas pr prias ACs e as ACs de Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB Os Centros de Servi o possuem um reposit rio para suas pr prias ACs e as ACs de Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB mas como parte de seu contrato com um Centro de Processamento o Centro de Processamento hospeda aquele reposit rio para o Centro de Servi os Clientes Gateway e Centros de Processamento que emitem Certificados a Assinantes dever o publicar os Certi ficados emitidos no reposit rio determinado na Tabela 4 conforme estabelece o par grafo 2 6 desta PC AC Entidade que emite o Certificado Reposit rio Aplic vel em nome da AC Centro de Processamento O Centro de Processamento O pr prio reposit rio do Centro de Processamento Centro de Servi os Cliente Centro de Processamento O reposit rio do Centro de Servi
46. mantidos e disponibilizados VeriSign ou Entidade Superior mediante solicita es que incluam i documenta o de registro de conformidade da pr pria entidade com a CPS aplic vel e demais obriga es conforme regem os contratos firmados com suas Entidades Superiores e ii documenta o de medidas e informa es que s o pertinentes cada Solicita o de Certificado e cria o emiss o uso revoga o expira o e renova o de cada Certificado emitido Estes registros dever o conter todas as evid ncias relevantes no registro de posse da entidade referentes a e a identidade do Assinante nomeado em cada Certificado exceto Certificados Classe 1 para os quais man tido apenas um registro do nome inequ voco do Assinante e a identidade das pessoas que solicitam a revoga o do Certificado exceto para Certificados de Classe para os quais mantido apenas um registro do nome inequ voco do Assinante outros fatos representados no Certificado e selos cronol gicos e e certos fatos previs veis relacionados emiss o de Certificados incluindo sem limitar se s informa es rele vantes para a conclus o bem sucedida de uma Auditoria de Conformidade conforme o disposto no 2 7 da PC Os registros podem ser mantidos em forma de mensagens eletr nicas ou documentos impressos contanto que estejam indexados armazenados conservador e sua reprodu o seja precisa e integral 4 6 2 Per odo de ret
47. o A VeriSign Afiliadas e Clientes dever o proteger a comunica o de informa es cr ticas usando a tecnologia de criptografia de ponto a ponto para confi dencialidade e assinaturas digitais para n o rep dio e autentica o 6 8 Controles de Engenharia do M dulo Criptogr fico Classe 1 3 Veja o par grafo 6 2 1 da PC 7 PERFIS DE CERTIFICADO E LCR CLASSE 1 3 7 1 Perfil do Certificado Os Certificados VTN dever o possuir um perfil e conter os campos especificados na PC 7 1 Exceto pelos Certifica dos WTLS os Certificados VTN dever o atender a ITU T Recommendation X 509 1997 Information Technology Open Systems Interconnection The Directory Authentication Framework June 1997 and b RFC 3280 Internet X 509 Public Key Infrastructure Certificate e CRL Profile April 2002 RFC 3280 Como condi o b sica os Certificados VTN X 509 dever o cont m os campos b sico e valores prescritos ou valores limite indicados nas Tabela 10 abaixo Campo Valor ou limite de valor Algorithm Oi eeo O Valid To Base de Tempo Universal Coordenado UCT Sincronizado com o Master Clock of U S Naval FO Observatory Codificado conforme o RFC 3280 Subject DN Consulte o par grafo 7 1 4 da PC Subject Public Codificado conforme o RFC 3280 Gerado e codificado conforme o RFC 3280 Tabela 10 Campos B sicos de Perfil de Certificado o ERTI sa limprensaoficial 12 VTN PC t indd 69 D 12 21 04 3 47 46 PM E J
48. o Uni versal e Revendedores Os requisitos dos Contratos de Assinantes cont m garantias termos de exonera o e limita es de responsabilidade abaixo aplicam se VeriSign Afiliadas Centros de Servi o Universal e queles Clientes de PKI Gerenciada Clientes Gateway e Revendedores que utilizam Contratos de Assinante Os requi sitos com rela o a garantias termos de exonera o e limita es nos Contratos de Parte Confiante aplicar se o VeriSign Afiliadas Centros de Servi o Universal e queles Revendedores que utilizam Contratos de Parte Confiante Observe que os termos aplic veis a Parte Confiante tamb m dever o constar nos Contratos de Assinante al m dos Contratos de Parte Confiante uma vez que Assinantes muitas vezes atuam como Parte Confiante 2 2 1 1 Garantias da Autoridade Certificador a Titulares e Parte Confiante Os Contratos de Assinante dever o incluir uma garantia aos Assinantes que e N o h adultera o material encontrada no Certificado conhecido como origin rio das entidades que aprovam a Solicita o do Certificado ou respons veis por sua emiss o As informa es contidas no Certificado n o apresentam erros que foram introduzidos por entidades que aprovaram a Solicita o do Certificado ou respons veis pela sua emiss o resultante de uma falha em exercer os devidos cuidados no gerenciamento da solicita o ou gera o de certificado Seus Certificados atende a todos os requi
49. o caso A identidade das Afiliadas Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB confirmar se por meio de e Apari o pessoal de um representante autorizado da organiza o ante pessoas autorizadas da Entidade Superior organiza o um Centro de Servi os Universal ou Revendedor junto com procedimento de autenti ca o para assegurar a confirma o da organiza o e a autoridade de seu pessoal ou e No caso de a VeriSign ou uma Afiliada confirmarem a identidade de Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB os procedimentos determinados no Guia de Pr ticas de Requisitos Legais de Afiladas ou no caso de Centros de Servi o Universal ou Revendedores confirmando a identidade de Clientes de PKI Gerenciada ou Clientes ASB as exig ncias impostas pela VeriSign ou Afiliadas aos Centros de Servi o Universal e Revendedores Estes procedimentos incluem a o As verifica es necess rias para confirma o da identidade do Assinante corporativo conforme a PC 8 3 1 8 1 com exce o de uma Solicita o de Certificado as valida es de uma solicita o para se tornar um Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB e b o No caso de Clientes de PKI Gerenciada ou Clientes Gateway a confirma o de que a pessoa identificada como Administrador de PKI Gerenciada ou Administrador Gateway est autorizada em atuar conforme sua capacidade 3 1 9 Autentica o de Identidade Individual Os
50. os acess vel pelo seu site hospedado por um Centro de Processamento Cliente de Cliente de PKI Centro de Processamento O reposit rio do Centro de Gerenciada ou Cliente ASB de um Processamento Centro de Processamento Cliente de Cliente de PKI Centro de Processamento O reposit rio do Centro de Gerenciada ou Cliente ASB de um Servi os acess vel pelo seu site Centro de Servi os hospedado por um Centro de Processamento Cliente Gateway de um Centro de O Cliente Gateway O reposit rio do Centro de Processamento Processamento Cliente Gateway de um Centro de O Cliente Gateway O reposit rio do Centro de Servi os Servi os acess vel a partir de seu site hospedado pelo Centro de Processamento do Centro de Servi os Tabela 4 Reposit rios Aplic veis por Tipo de AC Mediante a revoga o do Certificado do Assinante o Centro de Processamento ou Cliente Gateway que emi tiu o Certificado dever notificar tal revoga o no reposit rio indicado na Tabela 4 Al m disso os Centros de Processamento devem emitir LCRs e prestar servi os de OCSP Online Certificate Status Protocol protocolo de status de certificado on line contanto que forne am servi os OCSP para suas pr prias ACs e ACs de Centros de Servi o Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB dentro de seus Subdom nios conforme os par grafos 4 4 9 4 4 11 desta PC 2 2 Responsabilidade Classe 1 3 2 2 1 Responsabilidade da Autoridad
51. outras detalhes os m dulos criptogr ficos usados na emiss o de Certificados Na linha de neg cios Consumidor e Web Site os Centros de Processamento atuam como ACs na VTN executando todos os servi os de ciclo de vida de emiss o administra o revoga o e renova o de certificados Na linhas de neg cio Enterprise os Centros de Processamento prestam servi os de ciclo de vida em nome dos Clientes de PKI Gerenciada ou clientes de PKI gerenciada de seus Centros de Servi o subordinados Public Key Infrastructure A arquitetura organiza o t cnicas pr ticas e procedimentos que coletivamente ICP Infra estrutura de suportam a implementa o e opera o de um sistema criptogr fico de chave p blica ChaveP blica baseada em Certificado A PKI da VeriSign consiste nos sistemas que colaboram para a implementa o da VTN Autoridade de Registro Uma entidade aprovada por uma AC a auxiliar Solicitantes de Certificado na inscri o AR para certificados bem como fun es de aprova o ou rejei o de Solicita es revoga o e renova o de Certificados Parte Confiante terceira Um indiv duo ou organiza o d credibilidade a um certificado e ou assinatura digital parte Contrato de Parte Um contrato usado por uma AC que define os termos e condi es sob as quais uma um Confiante indiv duo ou organiza o age como Terceiro Certificado de Varejo Um certificado emitido pela VeriSign ou uma Afiliada agindo
52. procedimentos de autentica o dever o estar em conformidade com os requisitos espec ficos para cada Classe de Certificado conforme determinado no Guia de Pr ticas de Requisitos Legais da Afiliada M todos s lidos de autentica o para cada Classe de Certificado definia nesta Se o 3 1 9 deve ser permitido para atender s necessidades do neg cio Em geral os procedimentos de autentica o de cada Classe de Certificados est o confirmando que o Solicitan te de Certificado a pessoa identificada na Solicita o de Certificado exceto pelos Solicitantes a Certificados que det m os direitos da chave privada correspondente chave p blica relacionada no Certificado conforme rege o par grafo 3 1 7 da PC e que as informa es a serem relacionadas no Certificados s o precisar exceto pelas Informa es de Assinante N o verificadas Estes procedimentos junto com procedimentos mais detalha dos descritos abaixo para cada Classe de Certificado Os procedimentos das Afiliadas para a autentica o de identidade individual dever o ser aprovados pela Veri Sign antes que a Afiliada inicie suas opera es como AC ou AR para emitir ou aprovar Solicita es de Certifi cado para Certificados de Classe 1 3 ou como prestador de servi os a Clientes emitindo ou aprovando Solicita es de Certificados para Certificados de Classe 1 2 3 1 9 1 Certificados de Classe 1 A Autentica o de indiv duos para Certificados de Classe 1 dever
53. rcio eletr nico exigem para realizar opera es e comunica es seguras A VeriSign fornece certificados digitais Certificados para aplica es com fio e sem fio atrav s de uma infra estrutura de chave p blica global PKI conhecida como VeriSign Trust NetworkSM VTN bem como uma base de marca privada A VeriSign criou a Rede de Confian a da VeriSign VTN para acomodar uma grande comunidade p blica de usu rios com as mais variadas necessidades em comunica o e seguran a da informa o A VeriSign oferece os servi os VTN junto com uma rede global de empresas afiliadas Afiliadas espalhadas no mundo todo Este documento doravante referido como PC intitula se As Pol ticas de Certificado da Rede de Confian a da VeriSign Este PC a principal declara o de pol tica que rege a VTN A PC define as exig ncias comerciais legais e t cnicas para aprova o emiss o gest o utiliza o revoga o e renova o de Certificados digitais dentro da Rede de Confian a da Ve risign oferecendo servi os associados e de confian a Estes requisitos denominados Padr es VTN protegem a seguran a e integridade da Rede de Confian a da VeriSign Os Padr es VTN consistem em um grupo simples de regras que se aplicam consistentemente por toda VTN fornecendo assim a seguran a de confian a uniforme por toda a rede A rede VTN inclui tr s classes de Certificados Classes 1 3 A PC d
54. tindd 18 D 12 21 04 3 47 18 PM ET j j i O EEE O ad ERTISIGN 12 VTN PC 1 indd 19 a mesma mensagem ou registro escrito e assinado em papel Sujeitos s leis aplic veis uma assinatu ra digital ou transa o realizada referente a um Certificado VT dever ser efetiva independente da localiza o geogr fica onde o Certificado VTN foi emitido ou onde a assinatura digital foi criada ou utilizada e independente da localiza o geogr fica da sede da AC ou do Assinante A VeriSign periodicamente faz a renova o de chaves das ACs intermedi rias As aplica es ou plata formas de Parte Confiante que tenham uma AC intermedi ria incorporada como um certificado raiz n o podem operar conforme determinado ap s a renova o de chaves da AC intermedi ria A Veri Sign portanto n o garante o uso de ACs Intermedi rias como certificados raiz e recomenda que estas n o os incorpore a aplicativos e ou plataformas como certificados raiz A VeriSign recomenda o uso de Ra zes de APCs como certificados raiz 1 3 4 1 1 Certificados de Classe 1 Os certificados de classe 1 s o adequados para uma melhoria modesta na seguran a de e mails atrav s do uso de assinaturas digitais e criptografia de confidencialidade onde o e mail reque rem um baixo n vel de seguran a comparado s classes 2 e 3 N o oferecem uma seguran a de identidade do Assinante Assim uma assinatura digital feita com uma chave privada corres pondente chave p blica
55. 2 Entrega de chave privada entidade titular Classe 1 3 s snsusnsunenunnnennnnunnnnnnnnnnnnnnnnnnnnnnnnnnnn 58 6 1 3 Entrega de chave p blica para o emissor de certificado Classe 1 3 n nn 58 6 1 4 Entrega de chave p blica da AC para usu rios Classe 1 3 n rear 58 6 1 5 Tamanhos de chave Classe 1 3 ssnnssununnnunnunnunnnnnunnnnnnnnnunnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnn ennen nnn nnmnnn nana 59 6 1 6 Gera o de par metros de chave p blica Classe 1 3 n nn eereneareranaa 59 6 1 7 Verifica o da qualidade dos par metros Classe 1 3 n nn erereareranaa 59 6 1 8 Gera o de chave por hardware software Classe 1 3 ss ssssssussensunennnenennnnunnnnnnnnnnnnunnnnnnnnnnnnn nn 59 6 1 9 Finalidades de uso da chave conforme o campo key usage na X 509 v3 Classe 1 3 59 6 2 Prote o da Chave Privada issescasicsiesisasssiniaiasssosniisechdcssta arcando dandiinindds nesadasainbdam lnadais treinadas ionidcansatnair ie 60 6 2 1 Padr es para m dulos criptogr ficos Classe 1 3 nn reeeereneenenaeranaa 60 6 2 2 Controle multipessoal n de m para chave privada Classe 1 3 n nn 60 6 2 3 Recupera o escrow da chave privada Classe 1 3 ssssussesssnensneuennunnnunnununnnnnenennnnnnnnnnnnnnnnnn nn 61 6 2 4 C pia de seguran a da chave privada Classe 1 3 n nn reeereaeeneaneranaa 61 6 2 5 Arqu
56. 3 2 Per odos de utiliza o de chaves p blicas e privadas 81 ssssnsusesenenununnunnnununennnnununenunennnnnnn 65 64 Dadoside AtIVA O scgasicacissisasiassesasiaisiasaaas daizaandisadsra ada D Aga dade dai Diadia si cad sas Tadida decada da Piada niadoa a 66 6 4 1 Gera o e instala o dos dados de Ativa o sssesssensusnsunenununnuunnunenununonunnunnnununennnnunnnenenennnnn nn 66 6 4 1 1 Assinantes Classe 1 3 sssssnsnnsnnnunnnunnunnnunnnnnunnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nunnan nenna na 66 6 4 1 2 Administradores Classe 3 ssusnnnnunnnnnnunnnnnunnnnnunnunnnnnnnnnnnnnnnnnnnnnunnnnnnnnnnnnnnn nnn nnn nennen na 66 6 4 1 3 Clientes Gateway Classe 1 sssssssssuensunsnnnnnonnnnunnnunnnununnnnnnununnnnnnnnnnnnunennnnnnnnnnnnnn ennnen nn 66 6 4 1 4 Centros de Processamento Classe 1 3 asussunsunnunnnnnnnnonnnnnnnnnnnnunnnunnnnnnnnnnnnnnnnn nnn nnnn nnna 66 6 4 2 Prote o dos dados de ativa o s ssnsususenesennnnnnnnununennnnnnunununenununnunnnunenununnunnnunenennnnnnnnennnen nnen nn 66 6 4 2 1 Assinantes Classe 1 3 e Clientes Gateway Classe 1 sssssusssusssnnennuennunenunnnnunnennnnnn 66 6 4 2 2 Centros de Processamento Classe 1 3 usussunsunnunnnnnnnnonnnnnnnnnnnnunnnunnnnnnnnnnnnnnnnnn nnmnnn nnna 66 6 4 3 Outros aspectos dos dados de ativa o Classe 1 3 s sssssusssussneuensunenunenennnnunnnnnnnunnnnnnununnnnnnnnn nn 67 6 4 3 1 Transmiss o de dados d
57. 3 47 37 PM E TEEN O EEE O 5 1 5 Preven o e prote o contra inc ndio Classe 1 3 As instala es seguras da VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o ser cons tru das e equipadas al m da implementa o de procedimentos para prevenir e extinguir inc ndios ou outras exposi es ao fogo ou fuma a conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas Tais medidas devem atender s normas de seguran a local aplic veis 5 1 6 Armazenamento de m dia Classe 1 3 A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o proteger a m dia magn tica conservando c pias de seguran a de dados importantes de sistema e outras informa es confidenciais longe de gua fogo ou outros riscos ambientais e dever o aplicar medidas de prote o para impedir detectar e evitar o uso n o autorizado de tais m dias conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas 5 1 7 Destrui o de lixo Classe 1 3 A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o implementar procedimentos para o descarte de lixo papel m dias ou qualquer outro tipo de lixo a fim de evitar o uso n o autorizado acesso ou revela o do lixo que possa contar informa es Confidenciais Particulares dentro do contexto espe cificado no 2 8 1 da PC em conformidade com o Guia de Requisitos de Seguran
58. 6 5 3 2 1 Procedimentos de verifica o de antecedentes para Clientes Gateway Classe 1 Clientes ASB Classe 2 3 e Clientes de PKI Gerenciada Classe 1 3 56 5 3 2 2 Procedimentos de Verifica o de antecedentes para Centros de Servi o e Centros de Processamento Classe 1 3 ansssusenseunsunsnnnunnnnnnnnnnnnunnnunnnnnunnnnnennnnnnnnnnnnnn nnana 56 5 3 3 Requisitos de treinamento Classe 1 3 sssssssusnsusnsunennuennunennnunnnnnnnnnnununnnnnnunnnnnnnnnnnnnnunnnnnen neneman 56 5 3 4 Freqii ncia e requisitos para reciclagem t cnica Classe 1 3 ssssssssnsusueunsnnnnnnnnnnunenunennnnnnnnennn 57 5 3 5 Fregii ncia e segii ncia de rod zio de cargos Classe 1 3 n erraram 57 5 3 6 San es para a es n o autorizadas Classe 1 3 sssssssessssnnnnnunnnunnnunnnnunnnnnnnnnnnnnnnnnnunnnnnnn nnmnnn 57 5 3 7 Requisitos para contrata o de pessoal Classe 1 3 sssssssnsnnusunununnnunnnnununnnnnnnnnnnnnnnnunnnnnnnnnn ennn 57 5 3 8 Documenta o fornecida ao pessoal Classe 1 3 s si seremesereesenesesoreseseremeeeremeennensor 57 6 CONTROLES T CNICOS DE SEGURAN A sacana anasnaa ini anaana saia cap aaa pda 57 6 1 Gera o e Instala o de par de chaves s ssnsssusenenenunnnnnnununenunnnnununununununnununununununnunnnununenunnnnunennnenunen nnnm 57 6 1 1 Gera o de par de chaves Classe 1 3 n sssussusuenunununnnnnnnnnnnnunnnunnnnunnnunununennnnnnunnnnnnnnnnnnnnnn annn nn nannan 57 6 1
59. 6 1 Gera o e Instala o de par de chaves 6 1 1 Gera o de par de chaves Classe 1 3 A gera o de par de chaves dever ser feita em conformidade com o 6 1 desta PC usando sistemas Confi veis e processos que oferecem a solidez criptogr fica necess ria para as chaves geradas e evita a perda revela o o ERTI x imprensaoficial 12 VTN_PC_1 indd 57 amp 12 21 04 3 47 40 PM ET j ji O EEE O modifica o ou uso n o autorizado das chaves privadas Este requisito se aplica a Assinantes Clientes de PKI Gerenciada utilizando o Administrador de Chave para PKI Gerenciada ACs pr gerando pares de chaves em dispositivos de controle de acesso por hardware de Assinantes Centros de Processamento e Clientes Gateway Os Centros de Processamento geram pares de chave da AC do Centros de Servi os Cliente Clientes de PKI Ge renciada e Clientes ASB em seus Subdom nios As chave de AC dever o ser geradas em uma Cerim nia de Gera o de Chave Todas as Cerim nias de Gera o de Chave dever o atender aos requisitos do Guia de Refer ncias da Cerim nia de Chave o Guia do Usu rio da Ferramenta de Gerenciamento de Chave da AC e o Guia de Requisitos de Seguran a e Auditoria 6 1 2 Entrega de chave privada entidade titular Classe 1 3 As chaves privadas de Assinantes geralmente s o geradas pelos pr prios Assinantes sendo assim desnecess ria a entrada da chave privada ao Assinante As chaves privadas devem ser entregues a
60. 72 7 1 9 Sem ntica de processamento para extens es cr ticas de pol tica de certificado 72 7 2 Perfil de LCR ssasasasessasasessssesisosposiasssacasosacoseapasasasasimasacdasapanseSapanIAGEp PESA SUA DADE SaSSS DES SESaS FASES inian daana naia Navasa 72 7 2 1 N mero s de vers o ssussunsunnnnnnnnnnonnnnnnunnnnnunnnnnnnnnnnnnnnnunnnnnennnnnnn nnmnnn nunnan nnaman nunnan nnmnnn nnmnnn annman 72 7 2 2 Extens es e entradas de LCR nn ananasa aneor anua raana i ina ia aanas oani anani 72 8 ADMINISTRA O DE ESPECIFICA O nnnnnnnnnnnnennnnnnenennennnnnnnnnnnnernnnnnennnnnonnnnnneennnneennnnnnennunnnenunnnennnnnennnnnnenennnenenn 72 8 1 Procedimentos para Mudan a de Especifica o nn eerarerammeraceeeseraracesesaremaanenaanaaa 72 8 1 1 Itens pass veis de mudan a sem aviso pr vio ssssesusenenensunenunenununnunnnununununnunnnunununnnnnnnnunnnen anena 73 8 1 2 Itens pass veis de mudan a com aviso pr vio er eseeseraceseraceennemneraannenaa 73 81 21 Listade itens asas sssirisasarscoseiscisaiasiaosasesindcaosntvindas tinta jnitaan da inih nda sia sacan ida dadaniinadonadimsanas 73 8 1 2 2 Mecanismo de notifica o e eereseeaaanerammeraeeracreramrensanananna 73 8 1 2 3 Per odo de coment rio ni rereeseeaaeserammeneesenaenacraensaraceeaneateraanaara 73 8 1 2 4 Mecanismo para processar coment rios ssssssesenenensunn
61. 8 1 1 Itens pass veis de mudan a sem aviso pr vio A VeriSign e a PMA se reservam o direito de alterar a PC sem qualquer aviso pr vio para altera es que n o sejam materiais incluindo por m sem limitar se a erros tipogr ficos altera es nas URLs e altera es nas informa es de contato Fica a crit rio da PMA a decis o em designar altera es como sendo materiais ou n o materiais 8 1 2 Itens pass veis de mudan a com aviso pr vio A PMA dever fazer as altera es materiais na CP conforme dita a Se o 8 1 2 8 1 2 1 Lista de itens Altera es materiais s o aquelas que pela PMA e conforme a PC 8 1 1 s o consideradas materiais 8 1 2 2 Mecanismo de notifica o A PMA dever notificar as Afiliadas quanto s altera es materiais na PC proposta pela PMA A noti fica o dever conter o texto das altera es propostas e o per odo de coment rios da Se o 8 1 2 3 As altera es propostas PC dever o constar na se o Practices Updates and Notices do Reposit rio VeriSign localizado em https Avww verisign com repository updates As Afiliadas dever o publicar ou fornecer um link para as altera es propostas em seus pr prios reposit rios na Web dentro de um per odo razo vel ap s receber a notifica o de tais altera es A PMA solicita altera es propostas para PC de outros Participantes da VTN Se a PMA considera uma altera o desej vel e prop e sua implementa o esta PMA
62. ACs s vezes delegam as fun es de configura o de identidade a uma ou mais Autoridades de Registro ou ARs As ARs estabelecem os procedimentos de inscri o em nome da AC recebem as Solicita es de Certificado confir mam a identidade dos Solicitantes ao Certificado e aprovam ou rejeitam solicita es de certificado As ARs tamb m pode iniciar a revoga o de Certificado mediante solicita o de um Assinante ou outros embora a pr pria AC possa realizar a revoga o incluindo o Certificado em uma lista de revoga o de certificados LCR ou indicando que um Certificado foi revogado no reposit rio de ACs Assinantes s o indiv duos ou organiza es que obt m Certificados para usos em suas aplica es Por exemplo indiv du os podem usar um certificado para enviar um e mail assinado digitalmente a Parte Confiante Uma organiza o pode usar um certificado por exemplo ou um servidor para criar uma sess o segura com um navegador da Internet usando SSL Secure Socket Layer O SSL cria um canal seguro entre um navegador e um servidor da web O SSL autentica o ser vidor para o cliente oferece integridade de mensagens e codifica a comunica o entre o servidor e o cliente Parte Confiante s o indiv duos ou organiza es que utilizam certificados de outrem para certa aplica o Por exem plo o destinat rio de uma mensagem de e mail com assinatura digital pode usar o certificado do remetente para verificar a ass
63. Autentica o de servidor alguns exemplos sendo web ftp ou diret rio sess es seguras de SSL TLS criptografia de confidencialidade e quando em comunica o com outros servidores autentica o de cliente Secure Server ID OFS e autentica o e integridades de software e outros conte dos IDs Digitais de Assinatura de C digo e Conte do imprensaoficial 12 21 04 3 47 12 PM Classe Emitido para Servi os para os quais os Certificados Dispon vel Centro de Servi os de Autentica o PKI Gerenciada Confirma o de Certificado Identidade do Solicitante 3 1 8 1 3 19 da PC Verifica o de banco de dados de Parte Confiante ou outra documenta o comprobat ria da exist ncia da organiza o Inspe o de valida o por telefone ou procedimento similar para que a organiza o confirme o emprego e autoridade do representante empresarial e para que este possa confirmar sua Solicita o de Certificado Carta de confirma o de envio da Solicita o de Certificado enviada ao representante Valida o de PKI Gerenciada para Cliente SSL ou PKI Gerenciada para Cliente SSL Premium Edition como na Classe 3 Organizacional Varejo al m da valida o do Administrador da PKI Gerenciada Tabela 2 Propriedades de Certificado que Afetam a Confian a Solicita es implementadas ou contempladas pelos Usu rios 8 1 3 4 1 da PC Melhora a seguran a do e mail enviado em
64. Autoridade de Da ta o que lhe permite assinar digitalmente Recibos Digitais Ao usar o Servi o de Autentica o Notarial da VeriSign o software cliente do usu rio envia um hash assinado digitalmente do documento Autoridade de Data o A assinatura digital deve ser verific vel referente a um Certificado de PKI Gerenciada durante o Per odo Operacio o ERTI B imprensaoficial 12 VTN_PC_1 indd 13 amp 12 21 04 3 47 15 PM E TEEN O EEE O nal Uma vez recebido a Autoridade de Data o verifica a assinatura digital e assegura que o Cliente da PKI Gerenciada possui uma conta v lida Assim a Autoridade de Data o cria uma data o eletr nica dos dados submetidos consultando uma fonte segura de informa es de data o A Autoridade de Data o ent o combina a data o com um hash no documento para formar um objeto de dados que possa ser assinado digitalmente pela Autoridade criando assim um Recibo Digital Os Recibos Digitais s o armazenados pela VeriSign por um per odo espec fico com as informa es sobre o documento fornecidas pelo usu rio que poder o ser posterior mente disponibilizadas s partes interessadas para fins de resolu o de disputas e auditorias se necess rio Um documento n o precisa ser divulgado VeriSign para que seja digitalmente notado apenas o hash enviado ao Servi o de Cart rio Digital VeriSign A Autoridade de Data o obt m a informa o cronol gica a partir de um servidor
65. Confiante ou Contrato de Utiliza o de LCR como condi o para o acesso a Certificados informa es de estado de certificados ou LCRs A VeriSign e Afiliadas dever o implementar controles para impedir que pessoas n o autorizadas adicionem excluam ou modifiquem as entradas do reposit rio 2 6 4 Reposit rios Consulte o par grafo 2 1 5 2 7 Auditoria de Conformidade A VeriSign Afiliadas e Cliente dever o se submeter a auditorias de conformidade peri dicas doravante Audi torias de Conformidade para assegura a conformidade com os Padr es VTN ap s o in cio de suas opera es Os requisitos para a auditoria de conformidade s o apresentados nas subse es do par grafo 2 7 desta PC Al m das auditorias de conformidade a VeriSign e Afiliadas dever o ser capazes de realizar outras revis es e investiga es que se fa am necess rias para assegurar a confiabilidade da rede VTN que incluem por m n o se limitam a e Uma Revis o de Seguran a e Pr ticas de uma Afiliada antes que esta obtenha permiss o para iniciar suas ope ra es Uma Revis o de Seguran a e Pr ticas consistem na revis o as instala es seguras documenta o de segu ran a CPS contratos relativos VTN pol tica de privacidade e planos de valida o para assegurar que a Afiliada atende aos Padr es da VTN e A VeriSign dever ter o direito seu crit rio exclusivo realizar a qualquer momento uma Auditoria Investiga o
66. Garantias das Autoridades Certificadoras 25 2 2 1 3 Limites de Responsabilidade da Autoridade Certificadora n ni 26 2 2 1 4 For a MAIOR sscasciciiicsaicasniiinoristordseleasteadiicinac da dad add eaido dia biaa cdi ada dai oad ia dd aca ndia vei dada nda di 26 2 2 2 Responsabilidade da Autoridade de Registro ne reeeeeseeseesersanenesmennenaor 26 12VTN PC finda dl D 12 21 04 3 47 00 PM E JRERHE O EEE O 2 2 3 Responsabilidade do Titular nn irereracesereeamasereraonneracaaaeaoramnamnaracnnarao 26 2 2 3 1 Garantias do Titular zsiros a ereeeesenearaceeaneateranneracnaeraerannararaannanaa 26 2 2 3 2 Comprometimento da Chave Privada n nn ercesereceenneameraennenaa 27 2 2 4 Responsabilidade de Parte Confiante n e errererameraceeracreramnenennenaana 27 2 3 Responsabilidade Financeira Classe 1 3 n sssssnsuunsunununnnnnnnnunnnnnnnununnnnnnununnnnnnnnnnununnnnnnnnnnnnnnnnnn unnan nanena 27 2 3 1 Indeniza o devidas por Titulares e Parte Confiante nn e errenearenaana 27 2 3 1 1 Indeniza o devidas por Titulares nn nn rreereracenereramnsereraeneanao 27 2 3 2 Indeniza o devidas por Parte Confiante n nn ererameraoeeesreraaneneanenaanas 27 2 3 3 Rela es Fiduci rias n ns ie ereaseacesraceearasaenaaneracaaaracranasararaanaeacnamnacranaanaramnnan aa 28 2 3 4 Processos Administrativos
67. PC e registros de bancos de dados de todos os Certificados emitidos As c pias de seguran a das chaves priva das da AC dever o ser criadas e mantidas conforme o disposto no 6 2 4 da PC Os Centros de Processamento dever o manter as c pias de seguran a das seguintes informa es de AC de suas pr prias ACs bem como ACs dos Centros de Servi os de Cliente Clientes de PKI Gerenciada e Clientes ASB em seus subdom nios 4 8 1 Recursos computacionais software e ou dados corrompidos Quando da corrup o de recursos software e ou dados computacionais um registro do evento destinado VeriSign e demais bem como uma resposta ao evento dever ser prontamente feito pela AC ou AR afetada em conformidade com os procedimentos para relatar e lidar com incidentes e Comprometimentos nas CPS aplic veis e o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas 4 8 2 Chave da AC revogada Mediante a revoga o do Certificado contendo a chave p blica de uma AC e A revoga o dever ser relatada conforme disposto no 4 4 9 da PC no Reposit rio VeriSign e no caso de ACs n o VeriSign no reposit rio da Entidade Superior da AC e Todos os esfor os comercialmente poss veis dever o ser utilizados para a notifica o adicional da revoga o aos participantes da VTN e As ACs dever o realizar um troca de chaves conforme o disposto no par grafo 4 7 da PC exceto se seguido da revoga o de um Certificado d
68. PKI Gerenciada com motivos comerciais v lidos para tal acesso 6 5 2 Classifica o de seguran a computacional Classe 1 3 As reas cr ticas e espec ficas quanto seguran a de funcionalidades das ACs e ARs do software fornecido pela VeriSign dever o atender aos requisitos de seguran a EAL 3 Common Criteria for Information Technology Security Evaluation v 2 1 agosto 1999 6 6 Controles T cnicos do Ciclo de Vida Classe 1 3 6 6 1 Controles de desenvolvimento de sistema 6 6 1 1 Software Usado por Cliente Gateway Sem estipula o 6 6 1 2 Software Usado por Clientes de PKI Gerenciada Centros de Servi os e Centros de Processamento A VeriSign oferece o software para as fun es de AC e AR aos Centros de Processamento Centros de Servi os e Clientes de PKI Gerenciada Tal software utilizado para gerenciar Certificados de Classe 2 ou 3 dever ser desenvolvido dentro de ambientes de desenvolvimento de sistemas que atendam aos requisitos de garantia de desenvolvimento da VeriSign VeriSign dever usar um processo de design e desenvolvimento que refor a a garantia da qualidade e exatid o do processo O software fornecido pela VeriSign aos Clientes de PKI Gerenciada Centros de Servi os e Centros de Processamento quando na sua primeira inicializa o dever fornecer um m todo para que a entidade verifique se o software no sistema e foi originado pela VeriSign e n o foi modificante antes da instala o e possui a vers
69. REEHE O EEE O Os Certificados WTLS atenderam vers o mais atual do protocolo WAP Wireless Application Protocol Os Centros de Processamento e Clientes Gateway dever o emitir Certificados conforme o perfil determinado nesta PC 7 1 Al m disso os Centros de Processamento dever o emitir Certificados que possuam tal perfil para suas pr prias ACs e Ars do Centros de Servi os Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seus Subdomi nios 7 1 1 N mero s de vers o Exceto pelos Certificados WTLS Certificados que atenderam vers o mais atual do protocolo WAP todos os Certificados VTN dever o constituir em Certificados X 509 embora certos Certificados Raiz possam ser Certifi cados X 509 vers o 1 para suportar sistemas com tecnologias antigas Os Centros de Processamento dever o emitir Certificados de AC X 509 Vers o 1 ou Vers o 3 Adicionalmente os Centros de Processamento deve r o emitir Certificados de Assinante X 509 Vers o 3 Os Centros de Processamento dever o emitir Certificados WTLS 7 1 2 Extens es de Certificado Os Centros de Processamento e Clientes Gateway dever o preencher os Certificados VTN com as extens es exigidas pela PC 88 7 1 2 1 7 1 2 8 Extens es privadas s o permitidas por m o uso de extens o es privada s n o garantido por esta PC e a CPS aplic vel a menos que especificamente inclu do por refer ncia 7 1 2 1 Utiliza o da chave Os Centros de Processamen
70. Security O WTLS um parente pr ximo do SSL o protocolo prim rio usado para proteger a Internet convencional Os Certificados WTLS s o usados para autenticar um servidor WTLS a um cliente WTLS e for necer uma base para estabelecer uma chave de criptografia em uma sess o cliente servidor Os Certificados WTLS s o como Certificados de servidor SSL exceto que os Certificados WTLS n o est o no formato X 509 Eles s o certificados menores e mais simples que os X 509 que facilitam seu processamento em aparelhos com poucos recursos o ERTI 1 imprensaoficial 12 VTN_PC_1 indd 14 D 12 21 04 3 47 16 PM E TEEN O EEE O 1 1 2 3 2 Servi o de Gerenciamento de Chave PKI Gerenciada VeriSign O Servi o de Gerenciamento de Chave um sistema de aplicativos instalado nas instala es de uma empresa formando parte da fam lia de produtos PKI Gerenciada VeriSign O servi o de gerenciamento de chave opera com um servi o de PKI Gerenciada VeriSign Esta combina o permite ao gerente de uma empresa controla as opera es de backup e recupera o de chaves privadas e certificados digitais 1 As chaves privadas s o armazenadas nas instala es da empresa de forma criptografada Cada chave privada de Assinante individualmente criptografada com sua pr pria chave sim trica de triplo DES Um registro Key Escrow Record KER gerado e depois a chave DES triplo combinada com uma m scara de chave de sess o aleat ria gerada
71. Seguran a e Auditoria 5 1 1 4 Requisitos para Centros de Processamento Classe 1 3 Os Centros de Processamento dever o construir as instala es de alojamento para suas fun es de AC com pelo menos sete camadas de prote o Camadas 1 a 7 Os Centros de Processamento dever o realizar todas as fun es de AR dentro da Camada 3 ou superior Os Centro de Processamento dever o disponibilizar os sistemas de Servi os de Informa es necess rios ao apoio das fun es de AC e AR o ERTI a imprensaoficial 12 VTN PC t indd 52 D 12 21 04 3 47 37 PM ET j ji O EEE O na Camada 4 ou superior Os Servi os de Roaming da VeriSign dever o ser colocados na Camada 4 ou superior Os Centros de Processamento dever o colocar os m dulos criptogr ficos de AC online e offline na Camada 5 ou superior Os Centros de Processamento dever o ainda proteger os m dulos criptogr ficos de AC online e offline colocando os na Camada 7 ou superior As instala es dos Centros de Processamento dever o ser constru das com material capaz de obstruir prevenir e detectar a infiltra o secreta ou p blica As instala es dos Centros de Processamento deve r o atender aos requisitos m nimos de constru o de Centros de Processamento determinados no Guia de Requisitos de Seguran a e Auditoria 5 1 2 Acesso f sico O acesso a cada camada de prote o f sica constru do de acordo com a PC 5 1 1 dever ser controlado de forma que cada cama
72. Sign oferecido a Clientes de PKI Gerenciada permite a um Assinante assinar digitalmente transa es importantes como compra e venda de a es e obter acesso a informa es confidenciais sem estar preso a um nico terminal cliente que hospeda sua chave privada O servi o de roaming tem se tornado comum em muitos G ERTI i imprensaoficial 12 VTN_PC_1 indd 15 D 12 21 04 3 47 16 PM E TEEN O EEE O ambientes de trabalho e tem prevalecido consideravelmente nos ambientes de consumo como quiosques p blicos Desenvolvido pela equipe de pesquisa da VeriSign em parceria com o RSA Laboratories a tecnologia de roaming da VeriSign permite que assinantes usem o servi o Assinantes Roaming para baixar suas chaves privadas e concluir as opera es de chave privada em diferentes terminais clientes O Cliente de PKI Gerenciada n o precisa distribuir e oferece suporte cart es inteligentes e outros dispositivos de sinal O Assinante Roaming pode usar sua chave privada em qualquer terminal cliente O Servi o de Roaming VeriSign codifica as chaves p blicas dos Assinantes com chaves sim tricas que s o di vididas e armazenadas em um ou dois servidores em dois locais distintos para proteger contra ataques um nico servidor de credenciais A chave p blica est armazenada em uma forma criptografada no Servidor de Roaming Corporativo O assinante do servi o de roaming faz sua autentica o no s servidor es usando uma senha a chave cript
73. TOS OPERACIONAIS 4 1 Solicita o de Certificado Classe 1 3 4 1 1 Solicita es para Certificados de Assinante Todos os Solicitantes ao Certificado dever o passar pelo processo de inscri o que consiste em e completar uma Solicita o de Certificado fornecendo as informa es solicitadas e gerar ou tomar as medidas necess rias para a cria o de um par de chaves conforme a PC 8 6 1 e fornecer sua chave p blica ao Centro de Processamento ou Cliente Gateway conforme o par grafo 6 1 3 da PC 2 A Revoga o Autom tica On line usando uma frase de identifica o n o est dispon vel pra Certificados VeriSign Classe 3 para Assinatura de C digo e Conte do Estes certificados ser o revogados e publicados na LCR adequada mediante solicita o de revoga o de certificado do assinante junto VeriSign A solicita o deve indicar claramente sob quais circunst ncias relacionadas no 4 4 1 1 baseia se a solicita o de revoga o Para solicitar a revoga o os Assinantes dever o contatar o centro de atendimento ao cliente VeriSign E mail supportQverisign com ou Telefone 1 877 438 8776 ou 1 650 426 3400 A VeriSign verificar a solicita o de revoga o e os motivos que levaram revoga o antes de revogar o certificado e demonstrando ao Centro de Processamento ou Cliente Gateway emissor conforme o 3 1 7 da PC que o Solicitante de Certificado det m a posse da chave privada correspondente chave p
74. VeriSign Trust Network Pol ticas de Certificados 12 VTN PC 1 indd Il Vers o 1 3 Data efetiva 31 de mar o de 2004 VeriSign Inc 487 E Middlefield Road Mountain View CA 94043 USA 1 650 961 7500 http www verisign com Pol ticas de Certificados VeriSign Trust Network O 2004 VeriSign Inc Todos os direitos reservados Impresso nos EUA Data de revis o 31 de Mar o de 2004 Avisos de marcas comerciais Verisign e OnSite s o marcas registradas da VeriSign Inc O logotipo VeriSign VeriSign Trust Network NetSure e Go Secure s o marcas comerciais e marcas de servi os da VeriSign Inc Outras marcas comerciais a marcas de servi o s o de propriedade de seus respectivos donos Sem limitar os direitos acima reservados e exceto conforme concedido abaixo esta publi ca o n o pode ser total ou parcialmente reproduzida armazenada ou introduzida em um sistema de recupera o ou transmitida sob qualquer forma ou meio eletr nico mec nico fotoc pia grava o e similares sem a permiss o pr via por escrito da VeriSign Inc Apesar dos termos citados acima permitido reproduzir e distribuir essas Pol ticas de Cer tificado VeriSign de forma p blica e sem fins lucrativos sujeito s seguintes condi es i o aviso de copyright e os par grafos iniciais devem ser destacados no in cio de cada c pia ii men o de que o documento reproduzido em sua totalidade atribuindo o VeriSign Inc Sol
75. a o dever o assegurar que antes de qualquer revoga o de qualquer Certificado que a revoga o foi de fato solicitada pelo Assinante do Certificado a entidade que aprovou a Solicita o de Certificado o Centro de Processamento aplic vel ou no caso de Certificados emitidos por uma AC de Cliente ASB CA o Cliente ASB aplic vel Os procedimentos aceit veis para autentica o de solicita es de revoga o de um Assinante s o os seguintes e O Assinante dever possuir para certos tipos de certificado a frase de identifica o do Assinante ou equivalente resultando na revoga o autom tica do Certificado ao fornecer a frase de identifica o correta ou equivalente que consta no registro 2 e Recebimento de uma mensagem que aparenta ser do Assinante que solicita revoga o e cont m uma assinatura digital verific vel referente ao Certificado a ser revogado e Comunica o como Assinante fornecendo garantias razo veis conforme a Classe de Certificado de que a pessoa ou organiza o solicita o a revoga o de fato o Assinante Esta comunica o dependendo das circunst ncias poder incluir um ou mais meios de verifica o telefone n mero de fax e mail endere o postal ou servi o de men sageiros Os Administradores de AC AR t m o direito de solicitar a revoga o de Certificados de Assinantes dentro do subdo m nio das ACs e ARs A VeriSign e Afiliadas dever o autenticar a identidade de Admini
76. a atestando o cumpri mento dos objetivos de controle do guia de programa de auditoria e observa o de quaisquer exce es ou irregularidades 2 7 4 3 Auditoria de um Cliente de PKI Gerenciada Classe 3 Um guia de programa de auditoria descreve os procedimentos para auditoria de Clientes de PKI Geren ciada que aprova solicita es de certificado de Classe 3 Se tais Clientes de PKI Gerenciada aprovaram 100 cem ou mais Solicita es de Certificado de Classe 3 em um per odo de 12 doze meses tais Clientes de PKI Gerenciada dever o cumprir com sua obriga o de auditoria de conformidade anual atrav s de uma auditoria realizara por uma empresa de auditoria externa atestando o cumprimento dos objetivos de controle no guia de programa de auditoria e a observ ncia de exce es e irregularidades Caso con tr rio tais Clientes de PKI Gerenciada dever o atender exig ncia de Auditoria de conformidade Anual atrav s de auditoria interna atestando o cumprimento dos objetivos de controle no guia de programa de auditoria e a observ ncia de quaisquer exce es ou irregularidades 2 7 4 4 Auditoria da VeriSign ou de uma Afiliada Classe 1 3 A VeriSign e cada Afiliada dever o ser auditadas conforme o Guia de Programa de Auditoria de Afi liadas que incorpora diretrizes fornecidas no SAS Statement on Auditing Standards N 70 Reports on the Processing of Transactions by Service Organizations Relat rios sobre o processamento de tr
77. a AC de Servidor Seguro RSA a AC de Criptografia Con centrada Universal de Classe 3 da VeriSign ou AC VeriSign similar para a emiss o de IDs de Servidor Global e IDs de Servidor Seguro Provedores ASB Clientes de PKI Gerenciada VeriSign oferecem Servi os do Centro de Servi os de Autentica o aos Clientes ASB Os Provedores ASB executam tanto as fun es prim rias como secund rias para ACs de Cliente ASB 1 3 3 Titulares do Certificado Os Certificados de Classe 1 e 2 s o certificados clientes emitidos somente a Assinantes usu rio final Os Certi ficados de classe podem ser emitidos a indiv duos e outros tipos de Certificados podem ser emitidos a organi za es Os Certificados de classe 1 e 2 e Certificados individuais de classe 2 podem ser Certificados de Varejo ou Certificados de PKI Gerenciada Al m disso os certificados ASB individuais de classe 2 s o oferecidos atra v s do Centro de Servi os de Autentica o Os Certificados de varejo podem ser emitidos para o p blico em geral Exceto sob o Servi o de Autentica o de N vel Duplo descrito no par grafo 1 1 2 1 1 desta PC indiv du os que obt m Certificados de PKI Gerenciada devem ser afiliados do Cliente da PKI Gerenciada que aprovou o ERTI e imprensaoficial 12 VTN_PC_1 indd 17 D 12 21 04 3 47 18 PM E JRERHE O EEE O suas Solicita es de Certificado ou o titular como Indiv duo Afiliado Os indiv duos afiliados s o pessoas f sicos relacionad
78. a Lite que oferece seguran a para pequenas em presas e organiza es do que os Cliente de PKI Gerenciada tradicional Os Clientes de PKI Gerenciada Lite se tornam Autoridades de Registro associadas a uma AC da VeriSign ou Afiliada que compartilhada entre os Clientes de PKI Gerenciada Lite da VeriSign ou de uma Afiliada para aquela classe espec fica de Certificados Os Clientes de PKI Gerenciada Lite similar aos Clientes de KI Gerenciada aprovam ou rejeitam Solicita es de Certifi cado usando a funcionalidade de PKI Gerenciada como tamb m solicitam a revoga o e renova o de Certificados Como para os Clientes de PKI Gerenciada a ou outro Centro de Processamento realiza as fun es secund rias de emiss o gerenciamento revoga o e renova o de Certificados As categorias finais de Clientes de PKI Gerenciada aprovam Solicita es de Certificado para Certificados de servidores conhecidos como IDs de Servidores Seguros Secure Server ID PKI Gerenciada para Clientes SSL e para certificados de servidor conhecidos como ID de Servidor Global Clientes de PKI Gerenciada para Servidor Global Para uma discuss o sobre as di feren as entre as IDs de Servidor Seguro e IDs de Servidor Global consulte o 1 3 4 1 3 2 da PC PKI Gerenciada para Clientes SSL e PKI Gerenciada para Clientes SSL Premium Edition se tornam Autoridades de Registro associadas uma Autoridade Certificadora da VeriSign que compartilhada entre
79. a VeriSign Eles podem obter prote o com o Plano de Prote o NetSure sujeito aos termos deste contrato de servi o Este servi o n o s extende as prote es do Plano de Prote o NetSure a Assinantes cujas Solicita es de Certificado foram aprovadas pelo Cliente de PKI Gerenciada como tamb m extende tais prote es ao pr prio Cliente de PKI Gerenciada Por exemplo se o Cliente de PKI Gerenciada aprova uma Solicita o de Certificado de um funcio n rio do Cliente de PKI Gerenciada que usa o Certificado para fins comerciais do Cliente da PKI Gerenciada e se as a es do Assinante resultam em preju zos a parte a se responsabilizar pelos preju zos causados pode vir a ser o Cliente da PKI Gerenciada que exerce o papel de empregador do Assinante Se houver a cobertura do Plano de Prote o NetSure o Cliente de PKI Gerenciada pode solicitar uma indeniza o pelo preju zo prolongado pelas a es do Assinante 1 1 2 3 Tipos Especiais de Certificado 1 1 2 3 1 Servi os de Certificados Wireless A VeriSign oferece certificados corporativos para aplica es sem fio Os certificados VeriSign para servidores WAP permite estabelecer conex es seguras entre servidores e dispositivos sem fio como telefones celulares digitais e outros dispositivos m veis A tecnologia WAP Wireless Application Protocol permite a autentica o entre servidores wireless Web e dispositivos m veis atrav s do WTLS Wireless Transport Layer
80. a de mensagens inter intra orga nizacional comercial e pessoal exigindo um n vel m dio de seguran a em rela o s classes 1 e 3 O uso de assinaturas digitais com o protocolo S MIME permitem a autentica o de identidade dos correspondentes do e mail integridade da mensagem e suporte para a n o rep dio Adi cionalmente o S MIME permite o uso de certificados de classe 2 para a troca e ou criptografia de chaves de sess es para codificar e mails Os certificados de classe 2 tamb m s o adequados para autentica o cliente onde o web site ou outro dispositivo requer uma prova de identida de de n vel m dio de seguran a com a Classe 1 e 3 A autentica o cliente pode por exemplo fornecer acesso ao controle de bancos de dados e web sites protegidos 1 3 4 1 3 Certificados de Classe 3 Certificados Individuais de Classe 3 Os certificados de classe 3 s o adequados para proteger a troca de mensagens inter intra or ganizacional comercial e pessoal exigindo um n vel m dio de seguran a em rela o s classes 1e2 O uso de assinaturas digitais com o protocolo S MIME permitem a autentica o de identidade dos correspondentes do e mail integridade da mensagem e suporte para a n o rep dio Adicionalmente o S MIME permite o uso de certificados de classe 3 para a troca e ou criptografia de chaves de sess es para codificar e mails Os certificados de classe 3 tamb m s o adequados para autentica o cliente para o controle de a
81. a que possa vir a ser esperada pelo Assinante para contar com ou na presta o de servi os de suporte do Certificado do Assinante ou uma assinatura digital verific vel com rela o ao Certificado de Assinante Os Assinantes dever o cessar o uso de suas chaves privadas findo o per odo de utiliza o disposto no par grafo 6 3 2 desta PC Assinantes n o dever o monitorar interferir ou aplicar a t cnica de engenharia reversa na implementa o t c nica da VTN exceto mediante aprova o pr via por escrito da VeriSign e tampouco dever o intencionalmente comprometer a seguran a da VTN 2 1 4 Obriga es de Parte Confiante Relying Party Antes de qualquer ato de confian a os Parte Confiante dever o avaliar de forma independente a adequabili dade de uso de um Certificado para qualquer finalidade e determina se o Certificado ir de fato ser utilizado para uma finalidade apropriada A VeriSign ACs e ARs n o se responsabilizam pela avalia o de adequabilida de de uso de um Certificado Parte Confiante n o dever o utilizar os Certificados al m dos limites definidos no par grafo 1 3 4 2 e finalidades proibidas determinadas no par grafo 1 3 4 3 desta PC Assumindo que o uso do Certificado apropriado os Parte Confiante dever o utilizar o software e ou har dware apropriados para realizar a verifica o de assinatura digital ou outras opera es criptogr ficas que possam desejar realizar em cada opera o Tais opera
82. ados de AC de forma segura As chaves p blicas das APCs est o inclu das nos Certificados raiz que j est o incorporados em muitos aplicativos de software populares tornando desnecess rios os mecanismos de distribui o especial de raiz Tamb m em muitas inst ncias um Terceiro usando o protocolo S MIME automaticamente receber o Certificado do Assinante os Certificados e assim as chaves p blicas de todas as ACs subordinadas APC relevante o ERTI di imprensaoficial 12VTN PC tiindd 58 D 12 21 04 3 47 40 PM E TERN O EEE O 6 1 5 Tamanhos de chave Classe 1 3 Os pares de chave possuem comprimento suficiente para evitar que outros determinem a chave privada do par de chaves usando a an lise criptogr fica durante o per odo esperado da utiliza o de tais pares de chaves O Padr o VTN atual para o tamanho m nimo de chave o uso de pares de chave equivalentes a RSA de 1024 bits para APCs Acs e Assinantes de Classe 3 e pares de chaves equivalentes em pot ncia a um RSA de 512 bit para Assinantes de Classe 1 e 2 6 1 6 Gera o de par metros de chave p blica Classe 1 3 Os Participantes VTN usando o Padr o de Assinatura Digital dever o gerar os Par metros de Chave necess rios conforme o padr o FIPS 186 2 ou um padr o equivalente aprovado pela PMA 6 1 7 Verifica o da qualidade dos par metros Classe 1 3 Quando Participantes VTN utilizam o Padr o de Assinatura Digital a quantidade de Par metros
83. afos 4 4 1 1 4 4 15 b A VeriSign e a Entidade Superior reservar se o o direito de suspender os servi os prestados entidade auditada e c se necess rio a VeriSign e a Entidade Superior podem determinar o encerramento da presta o de servi os sujeitos ao par grafo 4 9 e aos termos do contrato da entidade auditada com a Entidade Superior 2 7 6 Comunica o dos Resultados Classe 1 3 Seguinte qualquer Auditoria de Conformidade a entidade auditada dever fornecer VeriSign e sua Entida de Superior se esta n o for a pr pria VeriSign com o relat rio anual e certifica es baseadas em sua auditoria ou auditoria interna dentro de 14 catorze dias ap s a conclus o da auditoria e antes de 45 quarenta e cinco dias antes da data de anivers rio do in cio das opera es o ERTI ne imprensaoficial 12 VTN_PC_1 indd 32 D 12 21 04 3 47 26 PM E JREEHE O EEE O 2 8 Sigilo Classe 1 3 A VeriSign e Afiliadas dever o implementar uma pol tica de privacidade em conformidade com o Guia de Pr ticas de Requisitos Legais da Afiliada Tais pol ticas de privacidade dever o estar em conformidade com as leis de privacidade locais aplic veis A VeriSign e Afiliadas n o dever o revelar ou vender os nomes dos Solicitantes a Certificados ou informa es que levem a sua identifica o sujeitos s disposi es do par grafo 2 8 2 da PC e com o direito uma AC de encerramento para transferir tais informa es a uma AC s
84. al as informa es de seguran a n o relacionadas ao sistema da AC como e Cerim nia de Gera o de Chave e bancos de dados de administra o de chaves e Registros de acesso f sico e Altera es na configura o do sistema e manuten o e Altera es no quadro de funcion rios e Relat rios de discrep ncia e comprometimento e Registros de destrui o de m dia contendo material de chave dados de ativa o ou informa es pessoais do Assinante e e Posse dos dados de ativa o para opera es com chave privada da AC 4 5 1 2 Eventos registrados por Centros de Servi o Clientes de PKI Gerenciada Classe 1 3 Os Centros de Servi os e Clientes de PKI Gerenciada dever o registrar em arquivos de registro de audi toria os eventos relacionados seguran a do sistema como e Inicializa o e desligamento do sistema e Inicializa o e desligamento do aplicativo da AR e Tentativas de cria o remo o gera o de senhas ou altera o nos privil gios de sistema de usu rios privilegiados fun es de confian a e Altera es nos detalhes e ou chaves da AR e Altera es nas pol ticas de cria o do certificado por exemplo per odo de validade e Tentativas de acesso login e sa da logoff e Tentativas n o autorizadas no acesso de rede ao sistema da AC AR e Tentativas n o autorizadas de acesso a arquivos de sistema e Falha nas opera es de leitura e escrita de Certificado e reposit ri
85. an sa es realizadas por organiza es prestadoras de servi os do American Institue of Certificate Public Accounts Suas Auditorias de Conformidade dever o ser SAS 70 Tipo Il Revis o A Relat rio de Pol ticas e Procedimentos em Opera o e Teste de Efic cia Operacional ou padr o de auditoria equivalente aprovado pela VeriSign 2 7 5 Medidas Tomadas como Resultado de Defici ncia Classe 1 3 Ap s receber um relat rio baseado na Auditoria de Conformidade determinada no par grafo 2 7 6 da PC a Entidade Superior dever contatar a entidade auditada para discutir quaisquer exce es ou defici ncias apre sentadas pela auditoria A VeriSign tamb m ter o direito de discutir tais exce es ou defici ncias com a parte auditada A entidade auditada e sua Entidade Superior dever o de boa f utilizar de recursos comercialmente razo veis para acordar sobre um plano de a o corretiva para corrigir os problemas que causaram as exce es ou defici ncia e a implementa o do plano A falha por parte da entidade auditada em desenvolver o plano de a es corretivas bem como sua implementa o ou o caso de identifica o de exce es ou defici ncias tidas pela VeriSign e Entidade Superior quela sendo auditada para considerar uma amea a imediata seguran a ou integridade da VTN a A VeriSign e ou Entidade Superior determinar o a necessidade de revoga o e ge ra o de relat rio de Comprometimento conforme os par gr
86. ar de revoga o do Certificado de Adminis trador A entidade que aprova a Solicita o de Certificado de um Assinante tamb m estar intitulada a revogar ou solicitar a revoga o do Certificado do Assinante Um Cliente ASB estar autorizado a iniciar a revoga o de Certificados emitidos por sua AC 4 4 2 2 Quem pode solicitar a revoga o de um certificado de uma AC ou AR Apenas a VeriSign tem autoriza o para solicitar ou iniciar a revoga o de Certificados emitidos s suas ACs Centros de Processamento que n o s o da VeriSign Centros de Servi os Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB estar o autorizados por meio de seu representante devi damente autorizado a solicitar a revoga o de seus pr prios Certificados e suas Entidades Superiores estar o autorizadas a solicitar ou iniciar a revoga o de seus Certificados o ERTI ha imprensaoficial 12 VTN PC tiindd 44 D 12 21 04 3 47 33 PM E JRERHE O EEE O 4 4 3 Procedimento para solicita o de revoga o 4 4 3 1 Procedimento para solicita o de revoga o de um certificado de assinante Um Assinante que solicita a revoga o dever comunicar sua solicita o entidade que aprova o sua Solicita o de Certificado de Assinante uma AC ou AR sendo que tal entidade dever revogar ela mesma o Certificado em caso de Centros de Centros de Processamento ou Clientes Gateway ou soli citar a revoga o ao Centro de Processamento que
87. as a uma pessoa jur dica Cliente de PKI Gerenciada ou Cliente de PKI Gerenciada Lite i como diretor funcion rio parceiro consultor estagi rio ou outra pessoa dentro da empresa ii como membro de uma comunidade de interesses registrada VeriSign iii ou como uma pessoa mantendo uma rela o com a empresa enquanto esta possui registros comerciais e outros registros que asseguram a identidade de tal pessoal por exemplo um cliente Clientes de PKI Gerenciada obtendo servi os atrav s do Servi o de Autentica o de N vel Duplo delegam fun es de AR outra organiza o com a qual se relaciona Indiv duos obtendo Certificados de PKI Gerenciada devem ser filiados como Indiv duo Afiliado da organiza o qual as fun es de AR foram delegadas Os certificados de administrador de classe 2 s o certificados especiais e limitados que um administrador au torizado da VeriSign um Cliente de PKI Gerenciada ou Afiliada utiliza exclusivamente para executar fun es de Administrador Os administradores que utilizam estes Certificados s o pessoas de confian a que executam fun es de gerenciamento de certificados em nome de Centros de Processamento Centros de Servi o ou Clien tes de PKI Gerenciada Al m de certificados cliente emitidos a indiv duos os certificados de classe 3 tamb m incluem certificados emitidos a assinantes corporativos Os certificados ASB corporativos de classe 3 s o emitidos para uma organiza o cuja ch
88. as ap s um desastre com no m nimo suporte s seguintes fun es emiss o de Certificado revo ga o de Certificado publica o de informa es de revoga o e fornecimento de informa es de recupera o de chave para Clientes de Clientes de PKI Gerenciada usando um Gerenciador de Chaves para PKI Gerenciada O banco de dados de recupera o de desastre um Centro de Processamento dever estar sincronizado com o banco de dados de produ o dentro dos limites de tempo definidos no Guia de Requisitos de Seguran a e Auditoria O equipamento de recupera o de desastre de um Centro de Processamento dever contar com pro te es f sicas de seguran a especificadas no Guia de Requisitos de Seguran a e Auditoria que inclui a aplica o de camadas f sicas de seguran a conforme o 5 1 1 da PC Os Centro de Servi os dever o ser capazes de declarar um desastre em seus sites no idioma local e em ingl s orientando Assinantes e Parte Confiante e demais interessados a recorrerem a um Centro de Processamento para a presta o de seus servi os de ciclo de vida Um plano de recupera o de desastre de um Centro de Servi os ou Centro de Processamento dever tomar as medidas necess rias para a recupera o completa dentro de uma semana ap s a ocorr ncia do desastre no local prim rio do Centro de Servi os ou Centro de Processamento Cada Centro de Servi os e Centro de Pro cessamento dever instalar e testar os equipamentos em seu
89. asse 1 3 ssssssuessussnununnnnnnunnnunnnunennunnnunnnnnnnnnnnnnnnnnnnnnnn 48 4 5 3 Periodo de reten o para registros de auditoria Classe 1 3 isesemeereceeeseseereemeers 48 4 5 4 Prote o de registro de auditoria Classe 1 3 susssusssensnnuennunnnunnnnunnnunnnunennnnnnnnnnnnunnnnnnnnnnnn nenna 48 4 5 5 Procedimentos para c pias de seguran a de registro de auditoria Classe 1 3 48 4 5 6 Sistema de coleta de dados de auditoria Classe 1 3 nussnnsnunnnnnunnnnnnnnunnnnnnnnnnnnunnnnnnnnnnnnnn nenna 48 4 5 7 Notifica o de agentes causadores de eventos Classe 1 3 ieeeseeseremeeeremeeesemsenesesers 48 4 5 8 Avalia es de vulnerabilidade Classe 1 3 sssssnsnsusunnnnnnnnnnnnunnnunnnnnnnnnnnnnnununnnnnnunnnnnnnnnnnnnnnnnn nnana 48 4 6 Arquivamento de registros Classe 1 3 e eeeeeeeeremeseremeeesemecreenserecnsenecmenesemerscnserecnemesenenssnnena 49 4 6 1 Tipos de eventos registrados nn ieeeeaceseesceaoeserammenesenenasasoracesaracteanamaanamnaaaa 49 4 6 2 Periodo de reten o para arquivo ssssnsuensunenununonunnunnnununununnununununennunnnununununnnnnnununnnen nnen nann ennnen 49 4 6 3 Prote o de arquivo ira raceaaeeseseasaneracaameacaacesaracaaanaeacnaaaaoracnsaramaaanamaanannaa a 49 4 6 4 Procedimentos para c pia de seguran a de arquivo ss eresereceeaneeeraennera 49 4 6 5 Requisitos para data o de reg
90. ativos emitidos por tokens Corporativos de Classe 3 por exemplo IDs de de Administra o Assinatura de Objeto Servidor Seguro IDs de Automatizada e Servidor Global Outro Certificados ASB Classe 3 Corporativos Classe 3 Certificados Cliente Classe 1 3 ServerAuth N o inclu do N o inclu do Inclu do 1 3 6 1 5 5 7 3 1 ClientAuth Inclu do N o inclu do Inclu do 1 3 6 1 5 5 7 3 1 CodeSigning N o inclu do Inclu do N o inclu do 1 3 6 1 5 5 7 3 3 EmailProtection Inclu do N o inclu do N o inclu do 1 3 6 1 5 5 7 3 1 TimeStamping N o inclu do N o inclu do N o inclu do 1 3 6 1 5 5 7 3 1 Tabela 11 Tipos de Finalidade de Chave inclu dos na extens o ExtendedKeyUsage 7 1 2 6 Pontos de distribui o de LCR Os Centros de Processamento e Clientes Gateway dever o preencher Certificados VTN X 509 Vers o 3 com uma extens o cRLDistributionPoints contendo a URL do local onde a terceira parte pode obter uma LCR e verificar o status do Certificado O campo de criticalidade desta extens o deve ser definido como FALSE falso 7 1 2 7 Identificador de chave da autoridade Os Centros de Processamento e Clientes Gateway em geral preenchem os Certificados VTN X 509 Ver s o 3 com uma extens o authorityKeyldentifier e um m todo para gerar o keyldentifier baseado na chave p blica da AC que emite o Certificado dever ser calculado conforme um dos m todos descritos na RFC 3280 O campo de criticalidade
91. ave privada controlada por um representante autorizado da organiza o Os proce dimentos de autentica o confirmam que o representante possui autonomia para agir em nome da orga niza o Al m dos certificados ASB de classe 3 os certificados corporativos s o emitidos para dispositivos incluindo Servidores da Web Secure Server IDs e Global Server IDs Servidores OFX e e Dispositivos que assinam digitalmente c digos e outros tipos de conte do Esta lista de assinantes dos certi ficados corporativos de classe 3 n o extensa As IDs de servidor seguro e servidor global podem ser Certificados de varejo ou de PKI gerenciada As IDs de servidor seguro e servidor global de varejo ser o diretamente emitidas organiza o pela VeriSign depois que esta ou sua Afiliada tenham aprovado a solicita o de Certificado do assinante As IDs de servidor seguro e servidor global que s o Certificados de PKI Gerenciada ser o emitidas pela VeriSign ap s a aprova o da solicita o de Certificado por uma PKI Gerenciada de Cliente SSL ou PKI Gerenciada de Cliente SSL Premium Edition As pr prias ACs s o do ponto de vista t cnico Assinantes de Certificados sejam na condi o de uma APC que emite seu pr prio certificado com sua assinatura ou como uma AC que emitiu um Certificado por uma AC superior A refer ncias a Assinantes nesta PC aplicam se somente aos Assinantes tidos como usu rios final 1 3 4 Aplicabilida
92. ay Clientes ASB e Clientes de PKI Gerenciada dever o realizar uma investiga o de antecedentes das pessoas que desejam se tornar Pessoas Qualificadas que inclui confirma o de ocupa o anterior verifica o de refer ncias profissionais confirma o do mais alto n vel educacional obtido diploma universit rio ou certificado educacio nal relevante uma pesquisa de fichas criminais em n vel local estadual e federal e verifica o de registros de cr dito registros de contabilidade 5 3 2 2 Procedimentos de Verifica o de antecedentes para Centros de Servi o e Centros de Processamento Classe 1 3 Os Centros de Servi o e Centros de Processamento dever o realizar investiga es de antecedentes das pessoas que desejam se tornar Pessoas Qualificadas que consistem em os assuntos inclu dos em uma investiga o conforme os par grafos 88 5 3 2 1 da PC uma pesquisa nos registros de habilita o pesquisa nos registros do seguro social federal equivalente aos registros do Social Security Admi nistration nos EUA ou rg o competente equivalente nos demais pa ses 5 3 3 Requisitos de treinamento Classe 1 3 A VeriSign Afiliadas e Clientes dever o fornecer seus funcion rios com o treinamento obrigat rio necess rio antes da contrata o efetiva e dever fornecer ainda treinamento pr tico relacionado s opera es de AC o ERTI a6 imprensaoficial 12 VTN_PC_1 i
93. c fica e recursos de segu ran a que correspondem a um n vel espec fico de confian a Os participantes da VTN escolhe quais Classes de Certificados desejam ou necessitam Conforme a VeriSign observa novos padr es de utiliza o e demanda de mercado ela considera o fornecimento de novas classes ou tipos de Certificados Os Certificados de Classe 1 emitidos apenas para indiv duos oferece o n vel mais baixo de seguran a den tro da VTN Eles oferecem garantias de que o nome exclusivo do Assinante nico e inequ voco dentro do Subdom nio da VeriSign ou de uma Afiliada assegurando ainda que determinado endere o de e mail est associado a uma chave p blica Eles s o adequados para assinaturas digitais codifica o e controle de acesso a transa es n o comerciais ou de baixo valor onde a prova de identifica o n o se faz neces s ria Os Certificados de Classe 2 tamb m emitidos apenas para indiv duos oferece um n vel m dio de seguran a dentro da rede VTN Eles oferecem a seguran a da identidade do Assinante baseada em uma compara o de informa es enviadas pelo Solicitante de Certificado comparadas s informa es em registros comerciais e bancos de dados ou no banco de dados do servi o de verifica o de identidade aprovado pela VeriSign Eles podem ser usados em assinaturas digitais codifica o e controle de acesso incluindo uma prova de identidade em transa es de valor m dio Os certificados de Clas
94. cado WTLS para um cliente WTLS facilitando a comunica o criptografada entre o servidor e cliente WLS o ERTI e imprensaoficial 12 VTN PC tindd 82 D 12 21 04 3 47 54 PM
95. cados VTN n o foram criados destinados ou autorizados para uso ou revenda como equipamento de controle sob circunst ncias de risco ou para uso que exijam desempenho prova de falhas tais como a opera o de instala es nucleares navega o de aeronaves ou sistemas de co munica o sistemas de controle de tr fego a reo ou sistemas de controle de equipamento b lico o ERTI a imprensaoficial 12 VTN_PC_1 indd 21 D 12 21 04 3 47 20 PM E i O EEE O onde a falha pode resultar diretamente em morte les es pessoais e s rios danos ambientais Con forme rege o par grafo 1 3 4 desta PC os Certificados de Classe 1 n o devem ser utilizados como prova de identidade ou como apoio n o rep dio de identidade ou autoridade 1 4 Dados de Contato 1 4 1 Organiza o de Administra o de Especifica es A organiza o que administra esta PC a Autoridade de Administra o de Pol ticas da VeriSign PMA O endere o da PMA VeriSign Trust Network Policy Management Authority c o VeriSign Inc 487 E Middlefield Road Mountain View CA 94043 USA 1 650 961 7500 voice 1 650 426 7300 fax practicesQverisign com 1 4 2 Pessoa de Contato Encaminhe d vidas quanto PC para cpQverisign com ou no seguinte endere o VeriSign Inc 487 E Middlefield Road Mountain View CA 94043 USA A C Practices and External Affairs D CP 1 650 961 7500 voice 1 650 426 7300 fax practicesOverisign com 1 4 3 Pessoa
96. cesso onde o web site ou outro 19 imprensaoficial D 12 21 04 3 47 19 PM E PERHE O EEE O dispositivo requer uma prova de identidade de alto n vel de seguran a em compara o s classes 1 e 2 A VeriSign emite certificados especiais de classe 3 aos Administradores Certificados de Admi nistradores que aprovam solicita es de certificado em nome dos Centros de Processamento Centros de Servi o e Clientes de PKI Gerenciada Os Certificados de Administrador s o utiliza dos para as fun es de administrador Isto os Administradores podem usar os certificados de administrador para executar fun es como aprova o ou reprova o de solicita es de certi ficado iniciar solicita es de revoga o e aprovar ou reprovar a renova o de certificados de Assinantes ou de outro Administrador Certificados corporativos de Classe 3 A tabela 3 resume os tipos mais comuns de Certificados Corporativos de Classe 3 oferecidos na VTN cada um deles descrito abaixo Note que esta tabela n o uma lista extensa dos Certifi cados corporativos de classe 3 Tipos de Classe 3 Fun es Protocolos de Seguran a Certificados Corporativos Aplic veis e Tecnologia IDs de Servidor Seguro Autentica o de servidor SSL criptografia de confidencialidade e na comunica o com outros servidores servidores autentica o cliente IDs de Servidor Global Autentica o de servidor SSL e SGC Server Gated criptografia de confiden
97. ciada bem como informa es de revoga o referente estes Certificados Clientes de PKI Gerenciada Lite PKI Gerenciada para Clientes SSL e PKI Gerenciada para Clientes SSL Premium Edition n o precisam publicar tais Certificados ou informa es de revoga o em um reposit rio uma vez que a VeriSign ou uma Afiliada se responsabilizaria pela execu o de suas fun es de reposit rio As DPCs da VeriSign e Afiliadas Contratos de Assinantes e Parte Confiante e uma liga o a esta PC dever o constar em seus respectivos reposit rios hospedados em seus web sites A VeriSign e cada Afi liada dever o publicar a URL do Contrato de Parte Confiante aplic vel dentro de cada Certificado que ela emitir conforme rege os par grafos 3 1 1 7 1 6 7 1 8 da PC Os Centros de Processamento dever o publicar os Certificados emitidos em nome de suas pr prias ACs e as ACs dos Centros de Servi os de Cliente Clientes de PKI Gerenciada e Clientes ASB em seu o ERTI ER imprensaoficial 12 VTN PC t indd 29 D 12 21 04 3 47 24 PM E TEEN O EEE O subdom nio Mediante a revoga o do Certificado do Assinante o Centro de Processamento que emi tiu o Certificado dever publicar a notifica o de tal revoga o no reposit rio indicado no par grafo 2 1 5 da PC Al m disso os Centros de Processamento devem emitir LCRs e se dispon vel prestar ser vi os de OCSP para suas pr prias ACs e ACs de Centros de Servi o Clientes de PKI Gerenciada Cliente
98. ciador de Chaves da PKI Gerenciada Assinantes Tokens de Assinatura Ciframento Classe 1 e Administra o com Par de de par de Classe 2 Automatizada Chaves Duplo chaves duplo e Assinantes Administrador Administrador Classe 2 3 de Chave de de Chave de PKI PKI Gerenciada Gerenciada 0 digitalSignature Set Set Set 2 keyEncipherment Set Set Set 8 decipheroniy Tabela 8 Configura es para a Extens o KeyUsage G ERTI a limprensaoficial 12 VTN PC tindd 59 D 12 21 04 3 47 41 PM E Enn O EEE O Certificados WTLS e certos Certificados de AC n o s o Certificados X 509 Vers o 3 logo n o cont m uma ex tens o KeyUsage Note que embora o bit NonRepudiation n o definido nas extens es KeyUsage dos Certificados emitidos em dispositivos de controle de acesso para Administra o Automatizada os Assinantes de Classe 2 3 e o Cer tificado de assinatura para Assinantes que recebem Certificados por meio do Gerenciador de Chaves da PKI Gerenciada a VTN suporta os servi os de n o rep dio destes certificados O bit nonRepudiation n o precisa ser definido nestes Certificados pois a ind stria de PKI ainda n o atingiu um consenso quanto ao significado do bit nonRepudiation At que se chegue a um consenso o bit nonRepudiation n o ser significativo para Parte Confiante Al m disso os aplicativos usados mais frequentemente n o reconhecem o bit nonRepudiation Logo definir o bit n o ajudar Parte Confiante a tomar uma decis o
99. cialidade Cryptography e na comunica o com outros servidores Tipos de Classe 3 Fun es Protocolos de Seguran a Certificados Corporativos Aplic veis e Tecnologia Certificados OFX Autentica o de servidor e SSL e OFX Open Financial criptografia de confidencialidade Exchange padr o Certificados para c digo Autentica o de integridade V rias tecnologias e outros assinatura de conte do Certificados ASB Assinaturas digitais mensagem Centro de Servi os de Corporativo de Classe 3 integridade criptografia de Autentica o Certificado confidencialidade tecnologia autentica o cliente Tabela 3 Tipos de Certificados Corporativos de Classe 3 Uma ID de Servidor Seguro possibilita aos visitantes do site autenticar a identidade do servidor da Web do Assinante e criar um canal criptografado entre o navegador e o servidor do Assinan te usando o protocolo SSL As IDs de Servidor Global s o uma esp cie de certificado de servidor que al m de realizar as seguintes fun es ajudam a estabelecer uma prote o criptogr fica s lida nas sess es SSL deste servidor As IDs de Servidor Global podem ainda tornar poss vel a prote o criptogr fica para navegadores de exporta o que sem uma ID de Servidor Global est o limitados ao uso de criptografia de 40 bits Um tipo adicional de certificado corporativo de classe 3 o Certificado OFX Open Financial Exchange O OFX um padr o para a troca de
100. cidas conforme a PC 2 8 dever o conter dispostos com rela o quebra de sigilo de informa es confidenciais privadas pessoa revelando as VeriSign ou Afiliada Esta se o est sujeita s leis de privacidade aplic veis o ERTI do imprensaoficial 12 VTN PC tindd 33 D 12 21 04 3 47 26 PM E Enn O EEE O 2 8 7 Outras circunst ncias de divulga o de informa es Sem estipula o 2 9 Direitos de Propriedade Intelectual Classe 1 3 A aloca o dos Direitos de Propriedade Intelectual entre os Participantes da VTN que n o Assinantes e Parte Confian te dever o ser regidos pelos contratos aplic veis a estes Participantes VTN As subse es seguintes ao par grafo 2 9 desta PC aplicam se aos Direitos de Propriedade Intelectual com rela o a Assinantes e Parte Confiante 2 9 1 Direitos de propriedade sob as informa es de certificados e revoga es As ACs det m todos os Direitos de Propriedade Intelectual dos Certificados e informa es de revoga o que venham a ser emitidas VeriSign Afiliadas e Cliente dever o conceder permiss o para a reprodu o e dis tribui o de Certificados de forma n o exclusiva sem cobran a de royalties contanto que sua reprodu o seja integral e que o uso dos Certificados est sujeito ao Contrato de Parte Confiante citado no Certificado A VeriSign Afiliadas e Clientes dever o conceder permiss o para uso das informa es de revoga o para a execu o de fun e
101. cluir uma auditoria a entidade auditada dever empresar um auditor independente qualificado com as qualifica es dispostas no par grafos 2 7 2 2 para a realiza o da Auditoria de Conformidade da entidade em vez de realizar uma auditoria interna Alternativamente a entidade auditada pode com o pr vio consentimento escrito da VeriSign ou Entidade Superior utilizar uma pessoa para realizar a auditoria que seja independente das fun es de auditoria caso a entidade auditada tenha emitido ou aprovado solicita es de certificado infe riores a 100 cem Certificados de qualquer Classe dentro dos ltimos 12 doze meses e a Entidade Superior ou VeriSign n o tiveram motivos para crer que houver qualquer irregularidade ou incidentes de seguran a nos ltimos 12 doze meses que poderiam representar um risco real ou potencial se guran a da VTN 2 7 2 2 Qualifica es de Empresas de Auditoria Externa Classe 1 3 Revis es e auditorias realizadas por uma auditora externa dever o ser realizadas por uma auditor cont bil com experi ncia reconhecida em seguran a computacional ou por profissionais de seguran a computacional credenciados empregados por uma consultoria de seguran a competente Tal firma tamb m dever mostrar provas de sua experi ncia na realiza o de auditorias de conformidade de seguran a da tecnologia da informa o e PKI 2 7 3 Rela o entre o Auditor e a Parte Auditada Classe 1 3 As Auditorias de Con
102. correspondente chave p blica O termo Titular pode ser referir tamb m a uma Certificado corporativo o equipamento ou dispositivo que cont m uma chave privada Um Titular atribu do a um nome exclusivo vinculado a uma chave p blica contida no Certificado do Titular Assinante Para certificados individuais a pessoa que o Titular e para quem foi emitido o Certificado No caso de um Certificado corporativo uma organiza o que possui o equipamento ou dispositivo que o Titular do certificado para quem o Certificado foi emitido Um Assinante capaz de usar e est autorizado a faze lo a chave privada que corresponde chave p blica listada no Certificado Contrato do Assinante Um contrato usado por uma AC que define os termos e condi es sob as quais uma um indiv duo ou organiza o age como Terceiro Entidade Superior da AC Entidade acima de outra entidade dentro da hierarquia da VTN a hierarquia das classes 1 2 0u3 Supplemental Risk Uma an lise de uma entidade realizada pela VeriSign apresentando descobertas Management Review incompletas ou excepcionais em uma Auditoria de Conformidade ou como parte do Revis es Adicionais de processo geral de gerenciamento de risco no curso normal do neg cio Gerenciamento de Risco Revendedor Uma entidade disponibiliza servi os para a VeriSign ou uma Afiliada em mercados espec ficos Autoridade de Data o Entidade VeriSign que assina Recibos Digitais como parte d
103. da possa ser acessada somente por pessoas autorizadas em conformidade com o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas 5 1 2 1 Requisitos para Clientes Gateway Classe 1 e Clientes de PKI Clientes Gateway e Clientes de PKI Gerenciada dever o controlar o acesso s suas instala es de AC ou AR Os requisitos incluem e Minimizar a exposi o de fun es privilegiadas atrav s da defini o de perfis com fun o espec fica ou grupos de autoriza o e Aplica o do controle de acesso nestes perfis ou grupos e Uso de crach s de identifica o de proximidade por exemplo ID Hugues e Registro automatizado de acesso de entrada e sa da da instala o e O uso de sistemas de alarme resistentes viola o contra invas o f sica para a detec o de arrom bamentos ou acesso n o autorizado s camadas de prote o f sica dentro da instala o e e Notifica o automatizada enviada a uma ag ncia externa de monitora o de alarme quanto po tencial viola o de seguran a quando n o h seguran as instalados na instala o predial Embora n o seja obrigat rio recomenda se o uso de leitores biom tricos por exemplo geometria da m o ou varredura digital da ris que oferecem autentica o de fator duplo 5 1 2 2 Requisitos do Centro de Servi o Classe 1 3 Os Centro de Servi os dever o controlar o acesso s instala es de suas ACs e ARs e atender aos re quisitos da
104. daLnoiii cascas aaa aiaa riar daaa 34 3 1 2 Necessidade por nomes significativos Classe 1 3 sssssussesssnenenenennunenunnnnunnnunennnnnnnnnnennnnnnnnn nn 35 3 1 3 Regras para interpreta o de v rios tipos de nomes Classe 1 3 sssusssussnnnsnnunnnunnnunennunnnnnnnnn 35 3 1 4 Exclusividade de nomes Classe 1 3 n nssusnunsunnnnnennnnnnnnnunnunnnnnunnnnnnnnnnnnunnnnnnnnnnnnnnnennnnnnnn nnmnnn nnana 35 3 1 5 Procedimento para resolver disputa de nomes Classe 1 3 sssssssssusunununnununnnnnennnnnnnnnnnnnnnnnnennn 35 3 1 6 Reconhecimento autentica o e papel das marcas registradas Classe 1 3 35 3 1 7 M todo de comprova o de posse de chave privada Classe 1 3 n no 35 3 1 8 Autentica o da identidade da organiza o s ssesusensnensunenununununnunnnununununnunnnununununnnnnnunnnen nnen nn 35 3 1 8 1 Autentica o da identidade de assinantes de uma organiza o Classe 3 35 3 1 8 1 1 Autentica o de Certificados Corporativos de Varejo 36 3 1 8 1 2 Autentica o para PKI s gerenciadas para SSL ou PKIs Gerenciadas para SSL Premium Edition n ni reeseraeesrsomeanemaeramennea 36 3 1 8 1 3 Autentica o para Certificados ASB Corporativos Classe 3 36 3 1 8 2 Autentica o da Identidade de ACs e ARs Classe 1 3 sssssssssusseunnnnnennnnnnunenunnnnnnnnnnnnnn 36 3 1 9 Autentica o de Id
105. dados financeiros em formato eletr nico en tre institui es financeiras empresas e consumidores pela Internet O padr o OFX facilita as o ERTI A imprensaoficial 12 VTN_PC_1 indd 20 D 12 21 04 3 47 19 PM E TEEN O EEE O atividades banc rias de clientes e pequenos neg cios apresenta o de contas e pagamentos investimentos em a es t tulos e companhias de investimento Os neg cios que usam o OFX preparam um servidor a comunica o com os clientes Um certifi cado OFX permite criar conex es SSL entre o servidor e o cliente Como nas IDs de Servidor Se guro e Servidor Global o uso de SSL nos Certificados OFX autenticam o servidor para o cliente garantem a integridade da mensagem e criptografa as comunica es entre servidor e cliente A VTN oferece certificados de classe 3 para assinatura de c digos e outros tipos de conte do para organiza es que desejam assinar digitalmente seus c digos e conte do digital A finalida de destes certificados autenticar a fonte do c digo ou conte do e fornecer provas de sua inte gridade Isto estes certificados fornecem a garantia de que o c digo ou conte do realmente veio do desenvolvedor ou fonte apropriado e que seu conte do n o foi violado por exemplo uma tentativa de inserir v rus e ou c digos maliciosos Qualquer AC que emita tais certificados n o endossa o uso do c digo ou conte do dos Assinantes destes Certificados Nenhuma AC deve se envolver com a parte
106. de Esta PC aplica se a todos os participantes VTN incluindo a VeriSign Afiliadas Clientes Centros de Servi o Uni versal Revendedores Assinantes e Parte Confiante Esta PC define as pol ticas que regem o uso de certificados em cada uma das Classes 1 a 3 Cada classe de certificado adequada para o uso com as aplica es definidas no par grafo 1 3 4 1 da PC Entretanto por contrato ou dentro de ambientes espec ficos tais como ambiente inter empresarial os participantes da rede VTN podem usar procedimentos de valida o mais consistentes que aqueles fornecidos nos par grafos 1 1 1 1 3 4 1 da PC Tal utiliza o estar limitada a tais entidades e sujeitas aos par grafos 2 2 1 2 2 2 2 2 da PC e estas entidades responsabilizar se o por qualquer dano ou preju zo causado pela utiliza o 1 3 4 1 Aplica es Adequadas As subse es desta se o principal relacionam as aplica es adequadas para os Certificados VTN con forme a Classe Esta rela o por m n o deve ser extensa Certificados individuais e alguns certificados corporativos permitem a Parte Confiante verifica as assi naturas digitais Os participantes da VTN reconhecem e concordam conforme os limites aplic veis da lei que da necessidade de uma transa o por escrito uma mensagem ou outro registro contendo uma assinatura digital verific vel referente a um Certificado VTN v lida efetiva e aplic vel conforme o ERTI e imprensaoficial 12VTN PC
107. de Certificados para emitir certificados a Assinantes Para mais informa es sobre o Gateway veja o 1 1 2 1 5 da PC Certificados de Administrador s o emitidos para Administradores de ACs ou ARs permitindo lhes realizar fun es administrativas em nome da AC ou AR Conforme o programa do Centro de Servi o de Autentica o a VeriSign ou Afiliada confirmam a identidade de um Solicitante de Certificado em nome de uma organiza o tal como em transa es interempresariais B2B Para mais informa es sobre o Centro de Servi o de Autentica o veja o 8 1 1 2 2 1 da PC A Tabela 2 define as propriedades de cada classe de Certificado baseados em sua emiss o a indiv duos ou organiza es oferecidos como PKIs de Varejo ou Gerenciadas oferecidos atrav s do programa do Centro de Servi os de Autentica o ou Gateway ou emitidos pelo Administrador Confirma o de Servi os sob os 3 pe o j aa Identidade do Solicitante is Classe Emitido para quais Certificados a contempladas por Usu rios PC a o de Certificado 88 3 1 8 1 s o Dispon vel RR RD o Edo e Re Solicita es implementadas ou Classe 1 Indiv duos Varejo Pesquisa de nome e modestamente melhorar a endere o de e mail para seguran a do e mail atrav s de garantir que o nome confidencialidade significativo criptografia assinaturas digitais exclusivo e inequ voco e controle de acesso baseado na Web onde a prova de PKI Gerenciada e Pesquisa de no
108. de Servi os Cliente Cliente de PKI Gerenciada Clientes Gateway ou Clientes ASB o candidato dever cooperar com sua Entidade Superior na determina o de um nome distinto adequado e o conte do dos Certificados a serem emitidos pelo Solicitante 4 2 Emiss o de Certificado Classe 1 3 4 2 1 Emiss o de Certificados de Assinantes Ap s o Solicitante de Certificado enviar a Solicita o de Certificado a entidade recebedora da Solicita o de Certificado veja a PC 4 1 1 dever confirmar ou n o confi8rmar as informa es constantes na Solicita o de Certificado informa es que n o seja Informa es n o verific veis do Assinante conforme a PC 88 3 1 8 1 3 1 9 Mediante a realiza o bem sucedida de todos os procedimentos necess rios de autentica o conforme o 3 1 da PC a entidade recebedoras da Solicita o de Certificado dever aprov la No caso de falha na autentica o a entidade recebedora da Solicita o de Certificado dever rejeitar a Solicita o de Certificado Um Certificado ser criado e emitido seguindo a aprova o de uma Solicita o de Certificado ou seguindo o recebimento de uma solicita o de AR para emiss o de Certificado Os Centros de Processamento e Clientes Gateway que recebem Solicita es de Certificado dever o criar e emitir ao Solicitante de Certificado um Certi ficado baseado nas informa es contidas em uma Solicita o de Certificado seguido da aprova o de tal S
109. de chave pri vada dispon veis atualmente incluindo o uso de cart es inteligentes dispositivos de acesso biom trico e outros dispositivos de controle de acesso por hardware para armazenar as chaves privadas 6 2 7 1 1 Certificados de Classe 1 O Padr o VTN para a prote o de chave privada Classe 1 requer que o Assinante tome as me didas comercialmente dispon veis para a prote o f sica de sua esta o de trabalho e evitar o uso da mesma e sua chave privada associada sem a autoriza o do Assinante Al m disso a VeriSign recomenda que os Assinantes utilizem uma senha conforme o 6 4 1 1 da PC ou pro te o adequada para autenticar o Assinante antes da ativa o da chave privada que inclui por exemplo uma senha para operar a chave privada uma senha de login no Windows senha de protetor de telas ou senha de login de rede 6 2 7 1 2 Certificados de Classe 2 O Padr o VTN para a prote o de chave privada Classe 2 voltado aos Assinantes para que e Utilizem uma senha conforme o 6 4 1 1 da PC ou prote o adequada para autenticar o Assinante antes da ativa o da chave privada que inclui por exemplo uma senha para operar a chave privada uma senha de login no Windows senha de protetor de telas ou senha de login de rede Tomem as medidas comercialmente dispon veis para a prote o f sica de sua esta o de traba lho de forma a evitar o uso da mesma e de sua chave privada associada sem a autoriza o d
110. de gera o e recupera o d de chaves para um Gerenciador de Chave Cliente de PKI Gerenciada usando um Administrador de Chave de PKI Gerenciada Key Recovery Block KRB Uma estrutura de dados contendo a chave privada do Assinante que criptografada usando uma chave criptogr fica Os KRBs s o gerados usando os software Managed PKI Key Manager Key Recovery Service Um servi o oferecido pela A VeriSign que fornece chaves criptogr ficas necess rias para a recupera o de um Key Recovery Block como parte do uso do software Managed PKI Key Manager de um Cliente de PKI Gerenciada PKI Gerenciada Servi o de PKI gerenciada totalmente integrado fornecido pela VeriSign que permite que Clientes corporativos da VeriSign e suas Afiliadas distribuam Certificados a indiv duos como funcion rios parceiros fornecedores e clientes bem como dispositivos como servidores roteadores e firewalls A PKI Gerenciada possibilita s empresa a troca segura de mensagens intranet extranet VPN e aplicativos de com rcio eletr nico Administrador de Um administrador que executa fun es de valida o e outras fun es de AR para um PKI Gerenciada Cliente de PKI Gerenciada Guia do Administrador Documento da VeriSign contendo os requisitos operacionais e pr ticas para Clientes de PKI de PKI Gerenciada gerenciada Contrato de PKI Um contrato onde uma organiza o se torna um Cliente de PKI Gerenciada e concorda com Gerenciada os termos
111. dentro da VTN de uma AC VeriSign que emite IDs de Servidor Seguro e IDs de Servidor Global Estes Centros o ERTI e imprensaoficial 12 VTN_PC_1 indd 10 D 12 21 04 3 47 14 PM E TEEN O EEE O de Servi o Centros de Servi os para Servidores realizam as fun es de aprova o e reprova o Solicita es de Certificado para IDs de Servidor Seguro ou IDs de Servidor Global Os Centros de Servi o tamb m podem fornecer servi os de PKI Gerenciada da VeriSign a outros Clientes de PKI Gerenciada Estes Clientes de PKI Gerenciada celebram um contrato de PKI Gerenciada com o Centro de Servi o que por sua vez conforme seu contrato com a VeriSign ou outro Centro de Processamento organiza com o Centro de Processamento para fornecer servi os secund rios de ciclo de vida de Certificados a estes Clientes de PKI Gerenciada Afiliadas sejam elas Centros de Processamento ou Centros de Servi o t m a op o de atuar em tr s frentes de neg cios Consumidor Web Site e Empresa Consumidor refere se s Afiliadas que oferecem Certificados de Varejo Classe 1 2 ou 3 em seus sites a Solicitantes ao Certificado Os Centros de Processamento na linha de neg cio Consumidor s o ACs enquanto os Centros de Servi o na linha de neg cios Consumidor passam a ser ARs Web Site refere se a Afiliadas que fornecem IDs de Servidor Segurou e ou IDs de Servidor Global na forma de Certi ficados de Varejo fornecidos diretamente s organ
112. desta extens o deve ser definido como FALSE falso 7 1 2 7 Identificador de chave do titular do certificado Se os Centros de Processamento ou Cliente Gateway preenchem os Certificados VTN X 509 Vers o 3 com uma extens o subjectKeyldentifier o m todo para a gera o do identificador de chave baseado na chave p blica do Titular do Certificado dever ser calculado conforme um dos m todos descritos na RFC 3280 O campo de criticalidade desta extens o se houver dever ser definido como FALSE falso 7 1 3 Identificadores de algoritmo Os Centros de Processamento e Clientes Gateway dever o assinar Certificados VTN usando um dos seguintes algoritmos sha 1WithRSAEncryption OBJECT IDENTIFIER iso 1 member body 2 us 840 rsadsi 113549 pkcs 1 pkcs 1 5 mdabWithRSAEncryption OBJECT IDENTIFIER fiso 1 member body 2 us 840 rsadsi 113549 pkcs 1 pkcs 1 1 4 md2WithRSAEncryption OBJECT IDENTIFIER fiso 1 member body 2 us 840 rsadsi 113549 pkcs 1 pkcs 1 1 2 Assinaturas de certificado produzidas usando estes algoritmos dever o atender ao RFC 3279 O uso do sha1WithRSAEncryption prefer vel ao uso do md5WithRSAEncryption O uso do md5WithRSAEncryption ser o ERTI n imprensaoficial 12 VTN_PC_1 indd 71 D 12 21 04 3 47 47 PM E TEEN O EEE O o preferido em vez do md2WithRSAEncryption que era usado para assinar Certificados de AC e Assinantes legados antigos 7 1 4 Formatos de nome Os Centros de P
113. dever notificar a altera o conforme explicado nesta se o Se a PMA acredita que as altera es materiais na PC imediatamente necess rias para parar ou evitar uma brecha de seguran a da VTN ou pare da rede a VeriSign e a PMA estar o autorizadas a fazer tais altera es publicando as no Reposit rio da VeriSign Tais altera es dever o ser feitas imediatamente ap s sua publica o Dentro de um per odo razo vel ap s a publica o a VeriSign dever notificar as Afiliadas de tais altera es 8 1 2 3 Per odo de coment rio Exceto pelo disposto na PC 8 1 2 2 o per odo de coment rio para qualquer altera o material na PC deve ser e 15 quinze dias a partir da data de publica o das altera es no reposit rio da VeriSign Qualquer participante da VTN est autorizado a fazer coment rios PMA at o final do per odo de coment rios 8 1 2 4 Mecanismo para processar coment rios A PMA dever considerar quaisquer coment rios feitos s altera es propostas A PMA dever a per mitir a efetiva o da altera o proposta sem altera o posterior b alterar as altera es propostas e republic las como uma nova altera o conforme a PC 8 1 2 2 ou c retirar as altera es propostas A PMA est autorizada a retirar altera es propostas notificando as Afiliadas e notificando tamb m a se o Practices Updates and Notices no reposit rio VeriSign A menos que as altera es propostas se
114. do Assinante sujeito ao servi o do Gerenciador de Chaves da PKI Gerenciada regido pelo 6 2 3 da PC A VeriSign recomenda que os Clientes de PKI Gerenciada com tokens de Administra o Automatizada e Assinantes de Classe 3 que n o est o sujeitos ao servi o do Gerenciador de Chaves da PKI Gerenciada que fa am as c pias de suas chaves privadas e protejam nas contra modifica o ou divulga o n o autorizada atrav s de meios f sico ou criptogr ficos O banco de dados das chaves privadas criptografadas armazenado em um servidor Roaming Enterprise e os bancos de dados dos segmentos de cha ves sim tricas usadas para codificar e decodificar estas chaves privadas armazenados no Servidor Roaming VeriSign e Servidores Roaming Enterprise dever o ser copiadas para fins de recupera o de desastre e conti nuidade dos neg cios 6 2 5 Arquivamento da chave privada Classe 1 3 Sem estipula o o ERTI a imprensaoficial 12VTN PC tindd 61 D 12 21 04 3 47 42 PM E JRERHE O mo mano 6 2 6 Inser o de chave privada no m dulo criptogr fico Classe 1 3 Os mecanismos de entrada de uma chave privada em um m dulo criptogr fico dever o impedir a perda roubo modifica o divulga o n o autorizada ou uso n o autorizado da chave privada As chaves privadas de ACs ou Ars mantidas em m dulos criptogr ficos em hardware dever o ser armazenadas em formul rio criptografado Os Centros de Processamento gerando chaves privadas
115. do de utiliza o de um par de chaves de Assinante ou AC estes devem cessar imediatamente o uso do par de chaves exceto quando uma AC precisa assinar informa es de revoga o at o final do per odo operacional do ltimo certificado emitido Certificado emitido por Classe 1 Classe 2 Classe 3 AC para Assinante At 2 anos Normalmente em at Normalmente em at 2 anos por m sob as 2 anos por m sob as condi es descritas condi es descritas abaixo at 5 ano abaixo at 5 anos Ac para Certificado N D At 5 anos corporativo de Administra o Organizacional do usu rio final Tabela 9 Per odos Operacionais de Certificado Exceto pelo indicado abaixo os participantes da VTN dever o cessar o uso dos pares de chaves ap s expirar o per odo de utiliza o Certificados emitidos pelas ACs para Assinantes podem ter per odos operacionais mais extensos que dois anos at cinco anos se as seguintes condi es forem atendidas e Os certificados s o Certificados individuais e Os pares de chave o Assinante residem em um dispositivo de controle de acesso por hardware token como um cart o inteligente e Anualmente os Assinantes passam pelo proOcesso de re autentica o conforme o 3 1 9 da PC o ERTI a imprensaoficial 12 VTN PC t indd 65 D 12 21 04 3 47 44 PM E TEEN O EEE O 6 4 e Os Assinantes dever o fornecer anualmente provas de posse das chaves privadas correspondentes s chaves
116. do e dar in cio a revoga es e renova es de Ids de Servidor Global Uma organiza o que adquiriu servi os de PKI Gerenciada para SSL Edition da VeriSign ou uma Afiliada Uma organiza o que adquiriu servi os de PKI Gerenciada Lite da VeriSign ou uma Afiliada onde a organiza o se torna uma Autoridade de Registro dentro da VTN para auxiliar na emiss o de Certificados cliente para uma AC da VeriSign ou Afiliada Esta AC delega aos Clientes de PKI Gerenciada Lite fun es de AR para aprova o rejei o de Solicita es de Certificado e iniciar as revoga es e renova es de Certificados Um procedimento onde as Solicita es de Certificado s o avaliadas e aprovadas manualmente uma a uma por um Administrador usando uma interface Web Um programa de garantia prolongada descrito na PC 1 1 2 2 3 As informa es submetidas por um Solicitante de Certificado a uma AC ouAR inclusas em um Certificado que n o foram confirmadas pela AC ou AR que por sua vez n o fornecem garantias adicionais al m daquelas apresentadas pelo Solicitante de Certificado 78 imprensaoficial D 12 21 04 3 47 52 PM N o rep dio Non Um atributo de uma comunica o que protege contra uma parte para uma comunica o repudiation que deslealmente nega sua origem negando que foi enviada ou entregue Uma nega o de origem consistem na nega o de que uma comunica o originada da mesma fonte que uma sequ ncia de uma ou mais mensagens me
117. do foi emiti do sem cumprir com os procedimentos necess rios pela DPC aplic vel o Certificado foi emitido a uma entidade que n o aquela nomeada como Objeto do Certificado ou o Certificado foi emitido sem a autoriza o da entidade indicada como Objeto de tal Certificado e A Entidade Superior das ACs ou ARs determina que o pr requisito material para a emiss o do Certi ficado n o foi atendido ou foi desconsiderado ou e A AC solicita a revoga o do Certificado e O uso de tal certificado representa riscos VTN Centros de Processamento dever o revogar Certificados de AC dentro de seus subdom nios quando esta se o exigir a revoga o Centros de Servi os cliente Clientes de PKI Gerenciada Gateway e Clien tes ASB devem solicitar a revoga o de um Centro de Processamento que emitiu o Certificado de AC quando a revoga o se faz necess ria 4 4 2 Quem pode solicitar a revoga o 4 4 2 1 Quem pode solicitar a revoga o de um certificado de assinante Assinantes Individuais est o autorizados a solicitar a revoga o de seus pr prios Certificados individu ais No caso de Certificados corporativos um representante devidamente autorizado pela organiza o poder solicitar a revoga o dos Certificados emitidos esta organiza o Um representante devida mente autorizado da VeriSign ou Afiliada ou um Cliente de PKI Gerenciada cujo Administrador receba um Certificado de Administrador estar autorizado a solicit
118. do para o Certificado de Administra dor para o servi o nomeado como Administrador na Solicita o de Certificado 3 2 Renova o Tempor ria de Chave Renova o Classe 1 3 3 2 1 Renova o de Certificados de Assinantes A entidade que aprova a Solicita o de Certificado para o Assinante de um Certificado dever ser respons vel pela autentica o da solicita o de renova o Os procedimentos de renova o dever o assegurar que a pesso al ou organiza o que pretendem renovar um Certificado de Assinante de fato o Assinante do Certificado Um procedimento aceit vel o uso de uma Frase de Desfio ou equivalente ou prova de posse da chave pri vada Os assinantes escolhe e enviam suas informa es de registro com uma frase de identifica o Mediante a renova o de um Certificado se um Assinante enviar corretamente a frase de identifica o de Assinante ou equivalente junto com as informa es de renova o de registro do Assinante e informa es do registro origi nal incluindo informa es de contato contato que tais informa es n o tenham sido alteradas a renova o do Certificado emitida automaticamente Ap s renova o de chave ou renova o completa dessa forma e em circunst ncias alternativas de renova o ou nova emiss o de chave a AC ou AR dever o reconfirmar a identidade do Assinante conforme os requisitos especificados na PC 88 3 1 8 1 3 1 9 para a autentica o de uma Solicita
119. e AC em rela o ao encerramento das opera es da AC conforme o 4 9 da PC 4 8 3 Chave da AC est comprometida No caso de comprometimento de chave privada de uma AC da VeriSign Centro de Servi os Cliente Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB o certificado de AC daquela entidade dever ser revogado o ERTI di imprensaoficial 12 VTN PC tindd 50 D 12 21 04 3 47 36 PM E JRERHE O EEE O conforme o 4 4 3 2 da PC Portanto a notifica o da revoga o deve ser feita em conformidade com o 4 8 2 da PC sendo que a AC dever interromper o uso da chave privada em quest o 4 8 4 Instala o segura ap s desastre natural ou outro tipo de desastre As instala es seguras de opera o das entidades da VTN para as opera es de AC e AR VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o desenvolver testar manter e se necess rio implemen tar um plano de recupera o de desastre criado para mitigar os efeitos de qualquer tipo de desastre natural ou causado pelo homem Os planos de recupera o de desastres dever o abordar a restaura o dos servi os de sistemas de informa o e as principais fun es comerciais Os locais de recupera o de desastre dever o possuir prote o f sica especificada no Guia de Requisitos de Seguran a e Auditoria Os Centros de Processamento dever o ser capazes de restaura ou recuperar suas opera es dentro de 24 vinte e quatro hor
120. e Assinantes e ACs subordinadas se necess rio e O pagamento compensat rio se necess rio aos Assinantes cujos Certificados n o revogados e v lidos foram revo gados por for a do plano de extin o ou determina o para a emiss o de Certificados substitutos a serem emitidos pela AC sucessora e Disposi o da chave p blica da AC e o dispositivo de controle de acesso de hardware contendo tal chave privada e As provis es necess rias para a transi o dos servi os da AC para sua sucessora o ERTI a imprensaoficial 12 VTN_PC_1 indd 51 amp 12 21 04 3 47 36 PM ET j j i O mo mano 5 CONTROLES DE SEGURAN A F SICA PROCEDIMENTAIS E DE PESSOAL Todas as entidades executando fun es de AC e AR VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway de ver o preparar implementar e aplicar uma pol tica de seguran a em conformidade com o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas Cada pol tica de seguran a dever discutir os controles de seguran a f sica procedimental l gica e de pessoal 5 1 Controles f sicos 5 1 1 Constru o e localiza o das instala es Todas as opera es de AC e AR pela VeriSign Afiliada Cliente de PKI Gerenciada ou Cliente Gateway dever o ser conduzidas dentro de um ambiente fisicamente protegido que possa conter prevenir e detectar o uso n o autorizado acesso ou divulga o de informa es e sistemas confidenciais Pa
121. e Autentica o de cada perfil Classe 1 3 A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o confirmar a identidade e auto riza o de todas as pessoas que procuram se tornar Pessoas Qualificadas conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas antes que cada indiv duo e seja fornecido com seus dispositivos de acesso e tenha acesso concedido s instala es necess rias e recebam as credenciais eletr nicas para acessar fun es espec ficas em Sistemas de Informa o e sistemas de AC ou AR Os Clientes ASB dever o confirmar a identidade e autoriza o das pessoas que desejam se tornar Administradores de AC A autentica o da identidade dever incluir a presen a f sica do indiv duo ante Pessoas Qualificadas realizando fun es de RH ou seguran a dentro de uma entidade e uma verifica o de formas reconhecidas de identifica o como passaporte ou carteira de habilita o Esta autentica o de Administradores de ACs de Clientes ASB deve ser realizada por membros dos grupos de RH ou seguran a do Cliente ASB que n o precisam ser membros e Pessoas Qualificadas A identidade dever ser confirmada por meio de procedimentos de investiga o de hist rico disposto no 5 3 1 da PC 5 3 Controles de Pessoal 5 3 1 Antecedentes qualifica o experi ncia e requisitos de idoneidade Classe 1 3 A VeriSign Afiliadas e Clientes dever o exigir que f
122. e Certificadora As garantias termos de exonera o de garantia e limites de responsabilidade entre a VeriSign Afiliadas Centros de Servi o Universal Revendedores e seus respectivos Clientes s o determinadas e regidas pelos o ERTI e imprensaoficial 12 VTN_PC_1 indd 24 D 12 21 04 3 47 21 PM ET j ji O EEE O contratos existente entre as partes O par grafo 2 2 1 da PC relaciona apenas as garantias que certas ACs Centros de Processamento Centros de Atendimento ao Cliente Clientes de PKI Gerenciada Clientes Ga teway devem fazer ao Assinante que recebe seus Certificados e a Parte Confiante a exonera o de garantia que dever o fazer para tais Assinantes e Parte Confiante e as limita es de confiabilidade aplicadas a tais Assinantes e Parte Confiante Desde a terceiriza o das fun es prim rias e secund rias ao Provedor ASB as exig ncias de garantia desta se o n o se aplicam a Clientes ASB A VeriSign Afiliadas Centros de Servi o Universal e Revendedores onde necess rio dever o utilizar os Con tratos de Assinante e Contratos de Parte Confiante conforme o par grafo 2 1 1 da PC Clientes de PKI Ge renciada e Clientes Gateway t m a op o de usar um Contrato de Assinante Estes contratos de Assinante e Parte Confiante devem atender s exig ncias do Guia de Pr ticas de Requisitos Legais da Afiliada no caso da VeriSign e Afiliadas e os requisitos impostos pela VeriSign ou Afiliada no caso de Centros de Servi
123. e Certificados de Classe 2 ou 3 Os Certificados VTN de ver o conter uma refer ncia ao Contrato de Parte Confiante aplic vel em seus nomes distintos conforme esta PC 8 7 1 4 3 1 2 Necessidade por nomes significativos Classe 1 3 Certificados de Assinantes de Classe 2 e 3 dever o incluir nomes significativos na seguinte maneira Certificados de Assinantes Classe 2 e 3 dever o conter nomes com sem nticas comumente intelig veis permitindo a deter mina o da identidade do indiv duo ou organiza o Objeto do Certificado Para tais Certificados os pseud ni mos nomes diferentes do nome verdadeiro do assinante ou denomina o da empresa n o s o permitidos 3 1 3 Regras para interpreta o de v rios tipos de nomes Classe 1 3 Sem estipula o 3 1 4 Exclusividade de nomes Classe 1 3 Os nomes de Assinantes dentro da VTN dever o ser exclusivos dentro dos Subdom nios de uma Afiliada e Cliente para determinada classe de Certificado poss vel para um Assinante ter dois ou mais certificados com o mesmo nome distinto de Objeto 3 1 5 Procedimento para resolver disputa de nomes Classe 1 3 Os Solicitantes ao Certificado n o devem utilizar nomes em suas Solicita es de Certificado que infrinjam sobre os Direitos de Propriedade Intelectual de Parte Confiante N o caber VeriSign nem a qualquer de suas Afilia das a determina o de posse dos direitos de propriedade intelectual no nome que consta em uma Solicita
124. e Organizacional ASB oferecem a garantia n o somente de uma chave p blica vinculada a uma organiza o privada mas tamb m que a pessoa controlando a chave privada da organiza o est autorizada a agir em nome da empresa em transa es que utilizam a chave privada correspondente chave p blica no Certificado Em geral todas as tr s classes de Certificados VTN resumem se em duas categorias PKI de Varejo e PKI Geren ciada Os Certificados Individuais s o Certificados emitidos pela VeriSign ou sua Afiliada agindo como uma AC para indiv duos e organiza es que fazem solicita es individuais VeriSign ou uma Afiliada atrav s de seu website Os Certificados de PKI Gerenciada baseiam se em uma Solicita o de4 Certificado aprovada por um Cliente de PKI Gerenciada que firma um Contrato de PKI Gerenciada com a VeriSign ou uma Afiliada para a emiss o de determinada quantidade de Certificados veja a PC 8 1 1 2 1 1 o ERTI imprensaoficial 12 VTN_PC_1 indd 5 D 12 21 04 3 47 11 PM E O EEE O Al m de Certificados de PKI de Varejo e Gerenciada os Certificados da VTN s o emitidos a Clientes Gateway Administradores de ACs e ARs e atrav s do Centro de Servi os de Autentica o Os Clientes Gateway s o ACs que utilizam o software de Certificado do servidor da Microsoft ou Netscape que foram inclu dos na rede VTN em virtude de um Certificado emitido ao Cliente Gateway pela VeriSign Os Clientes Gateway usam ser vidores
125. e ativa o Classe 1 3 ansnunnunununnnnnunnnnununununnnnnnnnnnnnnnnnnnnnnnn 67 6 4 3 2 Destrui o de dados de ativa o Classe 1 3 ssssssussnnsunennnnnnnnnnnnunnnnnnnnununnnnnnnnnnnnnnnn 67 6 5 Controles de seguran a computacional sssssusesesenunnnnunenunununnnnunununenunennununununununnunnnununununnnnnnennnenunen ennn n an 67 6 5 1 Requisitos t cnicos espec ficos de seguran a computacional ee 67 6 5 1 1 Controles para Centros de Processamento Classe 1 3 nssssusseusssnnennuennunenunnnnunnennnnnn 67 6 5 1 2 Controles para Clientes Gateway Classe 1 sssssnsnsnsusunennnnnnnnunnnnnnnnnnnnnnunnnunnnnnnnnnnnnnn 67 6 5 1 3 Controles para Centros de Servi o e Clientes de PKIs Gerenciadas Classe 1 3 68 6 5 2 Classifica o de seguran a computacional Classe 1 3 n nn rereeeenaenenaa 68 6 6 Controles T cnicos do Ciclo de Vida Classe 1 3 ansssnsnunnunsnnnunnnunnnnnnnnunnnunnnnnennnnnnnnnnnnnnnnnnnnnnnnnnn nnn nnn nnana 68 6 6 1 Controles de desenvolvimento de sistema n ss sersesceresesoemennsomsenesarsonnanesantanas 68 6 6 1 1 Software Usado por Cliente Gateway n nn erceerscreesreneanenaana 68 6 6 1 2 Software Usado por Clientes de PKI Gerenciada Centros de Servi os e Centros de Processamento sos iserteescemeerscesenrsoesonronesnmennscmsannsarsannannsantanas 68 6 6 2 Controles de gerenciamento de seguran a ss
126. e estar ativa por uma nica vez 6 2 8 M todo de desativa o de chave privada 6 2 8 1 Assinantes 6 2 8 1 1 Certificados de Classe 1 Sem estipula o 6 2 8 1 2 Certificados de Classe 2 Sem estipula o 6 2 8 1 3 Certificados de Classe 3 Assinantes t m a obriga o em proteger suas chaves privadas conforme o 6 2 7 1 da PC Tais obriga es extendem se prote o das chaves privadas ap s o inicio da opera o da chave privada 6 2 8 2 Clientes Gateway Classe 1 Sem estipula o 6 2 8 3 Centros de Processamento Classe 1 3 Esta se o se aplica pr pria AC de um Centro de Processamento e das ACs dos Centros de Servi os Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seu Subdom nio Quando uma AC colo cada offline o pessoal do Centro de Processamento dever remover o token contendo a chave privada da AC do leitor para que a AC possa ser desativada Com rela o s chaves privadas da AC desativada offline ap s a conclus o da Cerim nia de Gera o de Chave veja o 6 1 1da PC na qual tais chaves privadas s o usadas para opera es com chaves privadas o pessoal do Centro de Processamento deve r remover o token contendo tais chaves privadas da AC do leitor para assim desativa las Ap s serem removidos dos leitores os tokens dever o ser protegidos conforme o Guia de Requisitos de Seguran a e Auditoria 6 2 9 M todo de destrui o de chave privada As chav
127. e ou Cliente ASB descobre ou tem motivos para crer que o Certificado foi emitido sem cumprir com os procedimentos necess rios pela DPC aplic vel o Certificado certificados de classe 2 ou 3 foi emitido a uma pessoa que n o aquela nomeada como Objeto do Certificado ou o Certificado certificados de classe 2 ou3 foi emitido sem a autoriza o da pessoa indicada como Objeto de tal Certificado e A entidade que aprova a Solicita o de Certificado do Assinante ou um Cliente ASB descobre ou tem motivos para crer que h um fato material na Solicita o de Certificado que falso e A entidade que aprova a Solicita o de Certificado do Assinante ou um Cliente ASB determina que o pr requisito material para a emiss o do Certificado n o foi atendido ou foi desconsiderado e No caso de Certificados Corporativos de Classe 3 o nome da organiza o do Assinante muda e As informa es que constam no Certificado exceto por informa es n o verific veis do Assinante est o incorretas ou foram alteradas ou e O assinante solicita a revoga o do Certificado conforme disposto no 3 4 da PC o ERTI na imprensaoficial 12VTN PC tindd 43 D 12 21 04 3 47 32 PM ET j ji O EEE O e O uso de tal certificado representa riscos VTN Um Certificado de Administrador tamb m dever ser revogado se a autoridade do Assinante Adminis trador do Certificado que atua como Administradora tenha sido desligada ou encerrada Os Centros de P
128. e uma s rie de servi os para ajudar na implanta o gerenciamento e uso dos Certificados Escopo de Servi os da VTN Suite Esta se o fornece uma descri o geral de cada um destes servi os Para mais informa es sobre estes progra mas consulte o site da VeriSign na Internet http Avww verisign com Todos os servi os est o sujeitos a contra tos espec ficos com a VeriSign ou Afiliada 1 1 2 1 Servi os de Distribui o de Certificados 1 1 2 1 1 PKI Gerenciada VeriSignO A PKI Gerenciada da VeriSign um servi o completo de PKI gerenciada que permite a Clientes corporativos da VeriSign e suas Afiliadas a fornecer Certificados a indiv duos bem como fun cion rios parceiros fornecedores e clientes como tamb m em dispositivos como servidores ad ERTISIGN imprensaoficial 12 VTN_PC_1 indd 8 amp 12 21 04 3 47 12 PM E TEEN O EEE O roteadores e firewalls A PKI Gerenciada possibilita s empresas o envio seguro de mensagens prote o de intranet extranet rede virtual privada VPN e aplica es de com rcio eletr nico Usando a PKI Gerenciada uma empresa pode realizar o gerenciamento de ciclo de vida de um Certificado e explorar a alta disponibilidade dos servi os de processamento de Certificados da VeriSign e suas Afiliadas sem assumir a tarefa de projetar fornecer terceirizar pessoal e fazer a manuten o de sua pr pria PKI A VeriSign expandiu seus servi os de PKI Gerenciada com o Go Secure SM
129. ecem aos Clientes de PKI Gerenciada uma op o de aprova o e revoga o autom tica de usu rios ou dispositivos diretamente a partir de um sistema adminis trativo pr existente ou bancos de dados em vez de solicitar a Autentica o Manual de cada Solicita o de Certificado Os Clientes de PKI Gerenciada que utilizam o M dulo de software de Administra o Automatizada para PKIs Gerenciadas autenticam a identidade de Solicita es de Certificado potenciais antes de colocar as informa es em um banco de dados Quando um Solicitante de Certificado envia uma Solicita o de Certificado o M dulo de Software de Admi nistra o Automatizada compara as informa es na Solicita o de Certificado com aquelas no banco de dados e caso as informa es coincidam ocorre a aprova o autom tica da Solicita o de Certificado pelo Centro de Processamento Este processo chamado de Autentica o Auto matizada Clientes de PKI Gerenciada que n o utilizam o software de Administra o Automa tizada ou software VTN similar devem usar o procedimento de Autentica o Manual 3 1 9 2 2 Certificados de Varejo Classe 2 A VeriSign e Afiliadas dever o validar Solicita es de Certificado para Certificados de Varejo Classe 1 e Certificados ASS Individuais de Classe 2 atrav s da determina o se as informa es de iden tifica o que constam na Solicita o de Certificado coincidem com as informa es residentes no banco de dados de
130. em um certificado de classe 1 usando o protocolo S MIME n o pode ser usada para fins de autentica o ou para suporte a N O REP DIO Em vez disso a fun o da assinatura digital adequada como forma de assegurar quando os correspondentes de um e mail est o realizando uma s rie de trocas de mensagens que as comunica es s o origina das da mesma pessoa e que n o foram modificadas sem detec o desde a coloca o de sua assinatura digital A assinatura digital tamb m oferece garantias razo veis de que o e mail foi criado por um remetente com um determinado endere o de e mail O certificado n o oferece qualquer prova de identidade do remetente usando aquele endere o de e mail A aplica o de criptografia permite a Parte Confiante usar o certificado do Assinante para criptografar men sagens destinadas ao Assinante embora a terceira parte remetente n o possa assegura que o destinat rio de fato a pessoa nomeada no Certificado Os certificados de classe 1 tamb m podem ser usados para autentica o de clientes durante sess es online O web site ou outro dispositivo pode usar o certificado para assegurar atrav s de in meras sess es que as sess es est o sendo iniciadas com o mesmo Assinante possuidor de determinado endere o de e mail Reiterando o certificado n o oferece qualquer prova de identidade do Assinante 1 3 4 1 2 Certificados de Classe 2 Os certificados de classe 2 s o adequados para proteger a troc
131. en o para arquivo Os registros associados a um Certificado compilados no par grafo 4 6 1 da PC dever o ser mantidos por um per odo m nimo a ser definido abaixo seguindo da data de expira o ou revoga o do Certificado e 05 cinco anos para Certificados de Classe 1 e 10 dez anos para Certificados de Classe 2 e 30 trinta anos para Certificados de Classe 3 As DPCs podem conter per odos prolongados de reten o con forme exige a legisla o aplic vel 4 6 3 Prote o de arquivo Uma entidade que mant m um arquivo de registros compilados conforme o 4 6 1 da PC dever proteger o arquivo de forma que somente Pessoas de Confian a autorizadas pela entidade possam ter acesso ao arquivo O arquivo dever ser protegido contra a visualiza o modifica o exclus o n o autorizadas ou outro tipo de viola o pelo armazenamento dentro de um Sistema Confi vel A m dia que cont m os dados do arquivo e aplicativos necess rios para o processamento dos dados de arquivo dever ser mantida para assegurar que os dados do arquivo possam ser acessado pelo per odo estipulado no 4 6 2 4 6 4 Procedimentos para c pia de seguran a de arquivo As entidades que fazem a compila o eletr nica das informa es conforme o 4 6 1 da PC dever o fazer de forma progressiva c pias de seguran a di rias dos arquivos de sistema e realizar c pias de seguran a comple tas a cada semana As c pias dos registros impresso
132. enha de login no Win dows senha de protetor de telas ou senha de login de rede Medidas comercialmente dispon veis para a prote o f sica da esta o de trabalho do Adminis trador de forma a evitar o uso da mesma e de sua chave privada associada sem sua autoriza o VeriSign recomenda que os Administradores utilizam um cart o inteligente dispositivo de aces so biom trico ou seguran a de n vel equivalente junto possivelmente o uso de uma senha conforme disposto no 6 4 1 2 da PC para autenticar o Administrador antes da ativa o da chave privada Quando desativadas as chaves privadas dever o ser mantidas apenas em formul rio codifica do 6 2 7 2 2 Administradores de PKI Gerenciada usando um M dulo Criptogr fico com servi o de Administra o Automatizada ou Gerenciador de Chave de PKI Gerenciada O Padr o VTN para a prote o de chave privadas de Administrador usando um m dulo cripto gr fico requer e uso do m dulo criptogr fico junto com uma senha conforme disposto na PC 6 4 1 2 para autenticar o Administrador antes da ativa o da chave privada e medidas comercialmente dispon veis para a prote o f sica da esta o de trabalho que aloja o leitor do m dulo criptogr fico de forma a evitar o uso da esta o de trabalho e da chave privada associada ao m dulo criptogr fico sem a autoriza o do Administrador 6 2 7 3 Chaves Privadas de Clientes Gateway Classe 1 O Padr o VTN para
133. entidade Individual sssssusususenunennnnnnunenununnuunnunenunenununnunnnununennnnununenunennnen nn 37 3 1 9 deve ser permitido para atender s necessidades do neg cio nene 37 31 91 Certificados de Classe 1 sissies iusan sesitoediatssoiorinasgrdafadga EEndda dapitra sa ssuasan signed 37 3 1 9 2 Certificados Classe 2 x seessssssssospssesinasssacsssacaspacoscsasscasasosasicaccapenpssants sanscacespecnsssanesasa 38 3 1 9 2 1 Certificados de PKI Gerenciada Classe 2 nn rrereerenenaa 38 3 1 9 2 2 Certificados de Varejo Classe 2 nn raeeesesasereamenenaanms 38 3 1 9 3 Certificados Individuais de Classe 3 n nn rameraceeeaceeesareneanenaanar 38 3 2 Renova o Tempor ria de Chave Renova o Classe 1 3 ssssssnsnsusununennnnnnunnnnnnnnnnnnnnunnnunnnnnnnnnnnnnn 39 3 2 1 Renova o de Certificados de Assinantes n nn ererererammeraceeraceeeaeremaanemaanenaana 39 3 2 2 Renova o de Certificados da AC nn ereeeeereneaaeranaramacracmerameersanensanananaa 39 3 3 Renova o de Chave Ap s Revoga o Classe 1 3 nn ieeraseeraesearameceseneneanarenaaanaa 40 3 4 Solicita o de Revoga o Classe 1 3 nn reeeeacreaeeenaanenamaanacaracnamacrsmaaremaanenamanaa 40 4 REQUISITOS OPERACIONAIS sisirin aineeseen a aeaaeae ESSO aaae aaran aaa iaaeaie aiai 41 41 Solicita o de Certificado Classe 1 3 sssssssssunsneuennunennne
134. entre o Auditor e a Parte Auditada Classe 1 3 ssssnsssussnsnnnnunununnnnnennunnnunnnunnnnnnnnnnnnnn 31 2 7 4 T picos Cobertos pela Auditoria e ereesereceeaneeeraenneracraeracramneararamnnaraa 31 2 7 4 1 Auditorias Internas de Clientes Gateway Classe 1 ssssnsussnsnsnsnnnnunnnnnnnunennnnnnnnennnn 32 2 7 4 2 Auditorias Internas de Clientes de PKI infra estrutura de Chave P blica Gerenciada Classe 1 2 ssssssssunsnnnunnunnnunnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnn nnaman nannan nnna 32 2 7 4 3 Auditoria de um Cliente de PKI Gerenciada Classe 3 sssnusunnusnnnnunnunnnunnnnnnnnnnnnnnnn 32 2 7 4 4 Auditoria da VeriSign ou de uma Afiliada Classe 1 3 n sssssssssnsnsnsunnnnnnnunennnnnnnnnnnnn 32 2 7 5 Medidas Tomadas como Resultado de Defici ncia Classe 1 3 n ssusssununnnunnunnunnnnnnnnnnnnnnnnnnnnnn 32 2 7 6 Comunica o dos Resultados Classe 1 3 ssssssssssnnennnnnnunnnnnununnnnunnnununnnnnnnnnnnnunnnnnnnnnnnnnnnn ennnen 32 2 8 Sigilo Classe 1 3 E E E E E E E E 33 2 8 1 Tipos de informa es sigilosas ssssusununnnnnnonunununnnnnunnenenunununnennnnnununnnnnnnunnnnnnununnnnen nnen nn nnana en 33 2 8 2 Tipo de informa es n o sigilosas sssusnsnnnenunennnnnununnenenunununnnnnunnunununnnnnunnunnnununnnn nnmnnn nnaman nnmnnn 33 2 8 3 Divulga o de informa o de revoga o ou suspens o de certificado 33 2 8 4 Quebra de sigilo p
135. er ser enviado ao Assinante por e mail Fazer o download de um Certificado ou instal lo a partir de uma mensagem de e mail constitui na aceita o do Certificado por parte do Assinante 4 4 Suspens o e Revoga o de Certificado Classe 1 3 4 4 1 Circunst ncias para revoga o 4 4 1 1 Circunst ncias para Revoga o de Certificados e Assinantes Somente quando das circunst ncias apresentadas abaixo dever o certificado do Assinante ser re vogado pela VeriSign por um Centro de Processamento ou Afiliada ou pelo Assinante conforme o disposto no 3 4 da DPC e publicado em uma LCR Um Certificado de Assinante ser revogado se e A entidade que aprova a Solicita o de Certificado do Assinante ou um Cliente ASB descobre ou tem motivos para crer que h um Comprometimento da chave privada do Assinante e O Assinante n o cumpriu com uma obriga o material representa o ou garantia disposta no Con trato de Assinante aplic vel e O Contrato de Assinante com o Assinante foi encerrado e A afilia o entre um Cliente de PKI Gerenciada ou um Cliente ASB na emiss o de Certificados ASB Corporativos Classe 3 com um Assinante cancelado ou encerrado e A afilia o entre uma organiza o que um Assinante de Certificado ASB Corporativo Classe 3 e o representante organizacional controlando as chaves privadas do Assinante rescindida ou encerrada e A entidade que aprova a Solicita o de Certificado do Assinant
136. er Administrador de Chave de PKI Gerenciada OnSite OnSite Key Management Veja o Guia do Administrador de Gerenciamento de Chave de PKI Gerenciada Service Administrator s Guide OnSite Lite Veja Cliente de PKI Gerenciada Lite Open Financial Exchange Uma especifica o padr o baseada na Web para a troca eletr nica de dados financeiros OFX entre institui es financeiras neg cios e consumidores Per odo Operacional O per odo inicial com a data e hora de emiss o de um Certificado ou posteriormente se especificado no Certificado e encerrando com a data e hora de expira o do Certifica o ou de sua revoga o PKCS 10 Public Key Cryptography Standard 10 desenvolvido pela RSA Security Inc que define Pe uma estrutura para uma Solicita o de Assinatura de Certificado Security Inc que define meios seguros para a transfer ncia de chaves privadas PMA Policy Organiza o na VeriSign respons vel pela promulga o desta pol tica pela VTN Management Authority Autoridade de Gerenciamento de Pol tica G ERTI o imprensaoficial 12 VTN PC t indd 79 D 12 21 04 3 47 52 PM O EEE O PCA Primary Uma AC que age como AC raiz para uma classe espec fica de certificados eemite Certification Authority certificados s suas ACs subordinadas Autoridade Certificadora de Pol ticas Centro de Processamento Uma organiza o VeriSign ou certas Afiliadas que criam uma instala o segura entre
137. er ncia que apresenta em detalhes os principais requisitos operacionais de gerenciamento Declara o de Pr ticas de Certifica o A VeriSign e cada Afiliada ter o uma DPC Enquanto a PC determina os requisitos Padr es da VTN a DPC explica como a VeriSign ou Afiliada emprega as pr ticas e procedimentos que atendem a este requisitos Contratos secund rios impostos pela VeriSign ou Afiliada Estes contratos devem VINCULAR Clientes Assinantes e Parte Confiante VeriSign ou Afiliada Dentre outras coisas o contrato determina Padr es VTN a estes Participantes da VNT e em alguns casos determinam pr ticas espec ficas sobre como os Padr es da VTN devem ser atendidos Em muitos casos a PC baseia se neste documentos secund rios para Padr es VTN espec ficos e detalhados onde inclui as especifica es na PC que comprometeriam a seguran a da rede VTN A Figura 1 mostra a rela o entre a PC e outros documentos normativos VTN Document Architecture Ancillary Security and Operational Documents Affiliate 1 Affiliate 2 cPs cps VeriSign Affiliate 1 Affiliate 2 Ancillary Ancillary Ancillary Agreements Agreements Agreements Figura 1 Arquitetura de Documentos VTN Conforme mostrado na Figura 1 a PC cume da arquitetura de documentos VTN e define Padr es VTN de alto n vel Documentos correlatos de seguran a e opera o complementam a PC na determina o de Padr es VTN mais G ERTI 2 imprensao
138. er o renunciar s poss veis garantias da VeriSign e Afiliadas aplic veis incluindo qualquer garantia de comerciabilidade ou adequa o para determinado prop sito fora do contexto do Plano de Prote o NetSure o ERTI 5 imprensaoficial 12 VTN_PC_1 indd_25 D 12 21 04 3 47 22 PM E TEEN O EEE O 2 2 1 3 Limites de Responsabilidade da Autoridade Certificadora Na medida da legisla o aplic vel os Contratos de Assinante e Parte Confiante dever o limitar a responsabilidade da VeriSign e Afiliadas aplic veis quando fora do contexto do Plano de Prote o NetSure As limita es de responsabilidade dever o incluir uma exclus o de danos indiretos especiais acidentais e consequentes Elas tamb m dever o incluir os seguintes limites de responsabilidades re duzindo os danos da VeriSign e Afiliada com rela o a um Certificado espec fico Classe Limites de responsabilidade Classe 1 Cem d lares d lares US 100 00 Classe 2 Cinco mil d lares US 5 000 00 Classe 3 Cem mil d lares US 100 000 00 Tabela 5 Limites de Responsabilidade Nota Os limites de responsabilidade na Tabela 5 limitam os danos recuper veis fora do contexto do Plano de Prote o NetSure As quantias pagas no Plano de Prote o NetSure est o sujeitas a seus pr prios limites de responsabilidade Os limites de responsabilidade no Plano de Prote o NetSure dos diferentes tipos de Certificados variam de US 1 000 00 a US 1 000 000 00 Co
139. eradas informa es confi denciais particulares As informa es que n o s o expressamente declaradas como Confidencial Privada con forme a PC 2 8 1 n o ser o consideradas nem confidenciais ou particulares Esta se o est sujeita s leis de privacidade aplic veis 2 8 3 Divulga o de informa o de revoga o ou suspens o de certificado Consulte PC 2 8 2 2 8 4 Quebra de sigilo por motivos legais Os Participantes da VTN reconhecem que a VeriSign e a Afiliada reservar se o o direito de divulgar informa es confidenciais particulares se de boa f a VeriSign ou Afiliada considerar que tal revela o se fa a necess ria em virtude de intima es e mandatos de busca e apreens o Esta se o est sujeita s leis de privacidade aplic veis 2 8 5 Quebra de sigilo como parte de descoberta p blica Os Participantes da VTN reconhecem o direito da VeriSign Afiliada em revelar informa es Confidenciais Priva das se em boa f a Afiliada ou a VeriSign acreditarem que tal quebra de sigilo se fa a necess ria em virtude de processo judicial administrativo durante o processo de descoberta em uma a o civil ou administrativa tais como intima es interrogat rios solicita es para confiss o e solicita es para produ o de documenta o Esta se o est sujeita s leis de privacidade aplic veis 2 8 6 Divulga o por solicita o do Titular do Certificado As pol ticas de privacidade estabele
140. ertificatePolicies Tais Certificados dever o con ter qualificador indicador CPS preenchido com uma URL indicando o Contrato de Parte Confiante aplic vel 7 1 9 Sem ntica de processamento para extens es cr ticas de pol tica de certificado Sem estipula o 7 2 Perfil de LCR Os Centros de Processamento e Clientes Gateway dever o emitir as LCRs em conformidade com o RFC 3280 e OCSP responders que atendam ao RFC2560 7 2 1 N mero s de vers o Sem estipula o 7 2 2 Extens es e entradas de LCR Sem estipula o 8 ADMINISTRA O DE ESPECIFICA O 8 1 Procedimentos para Mudan a de Especifica o As altera es desta PC dever o ser feitas pela Autoridade de Gerenciamento de Pol tica da Rede de Confian a VeriSign As altera es dever o ser feitas na forma de um documento contendo um formul rio de aditamento da PC ou uma atu aliza o As vers es alteradas ou atualiza es dever o possuir um link de acesso s se es Practices Updates and Notices do Reposit rio VeriSign localizado em https Avww verisign com repository updates Atualiza es substituem quaisquer dispositivos designados ou conflitantes de uma vers o da PC A PMA dever determina se as altera es na PC requerem uma altera o nos identificadores OID das pol ticas de Certificado correspondentes a cada Classe de Certificado o ERTI Z imprensaoficial 12 VTN_PC_1 indd 72 amp 12 21 04 3 47 48 PM ET j ji O EEE O 8 2
141. es privadas ser o destru das de forma que impe a sua perda roubo modifica o divulga o ou uso n o autorizado 6 2 9 1 Clientes Gateway Classe 1 Todos Clientes Gateway dever o proteger os dados de ativa o de suas chaves privadas contra perda roubo modifica o divulga o n o autorizada ou uso n o autorizado 6 2 9 2 Centros de Processamento Classe 1 3 No encerramento das opera es da AC de um Centro de Processamento ou de um Centro de Servi os Cliente Cliente de PKI Gerenciada ou Cliente ASB dentro de seu Subdom nio o pessoal do Centro de Processamento dever remover de servi o a chave privada da AC excluindo a usando a funcionalidade de um token contento tal chave privada da AC de forma a impedir sua recupera o ap s a elimina o ou perda roubo modifica o divulga o n o autorizada ou uso n o autorizado de tais chaves privadas enquanto n o prejudicam as chaves privadas de outras ACs contidas no token Este processo deve ser testemunhado conforme disposto no Guia de Requisitos de Seguran a e Auditoria e no Guia de Refer ncia da Cerim nia de Chave o ERTI n imprensaoficial 12 VTN_PC_1 indd 64 D 12 21 04 3 47 44 PM E TEEN O EEE O 6 3 Outros Aspectos do Gerenciamento do Par de Chaves Classe 1 3 6 3 1 Arquivamento de chave p blica Os Centros de Processamento dever o arquivar suas pr prias chaves p blicas bem como chaves p blicas de todos os Centro de Servi os Clien
142. escreve como estas tr s Classes correspondem s tr s classes de aplicativos com requisitos comuns de seguran a Esta PC consistem em um nico documento que define tr s pol ticas de certificado correspondente s tr s Classes A vers o atual da PC identifica os Padr es VTN aplic veis a cada Classe Os autores deste documento s o membros da Autoridade em Gerenciamento de Pol ticas da Rede de Confian a da VeriSign PMA A PMA respons vel pela proposta de mudan as na PC atualiza o do documento e solicita o de coment rios sobre a PC A PMA tamb m supervisiona a conformidade com os requisitos desta PC 1 1 Vis o Geral A PC estabelece os requisitos para a Rede de Confian a da VeriSign por m n o a rede propriamente dita A PC rege o uso da VTN por todos os indiv duos e entidades participantes da VTN coletivamente Participantes da VTN Al m dis so a VeriSign e todas as Afiliadas devem seguir os requisitos da PC A VeriSign bem como cada Afiliada tem autoridade sobre parte da VTN A parte da VTN controlada pela VeriSign ou por uma Afiliada denominada Subdom nio da VTN Um Subdom nio de uma Afiliada consistem em uma parte da VTN sob seu controle Um Subdom nio de uma Afiliada inclui entidades a ela subordinadas como seus Clientes Assinantes e Parte Confiante Entretanto a PC atual como um documento guarda chuva estabelecendo os padr es VTN de linha de base para toda a rede VTN A PC n o va
143. esmo ou e revelar o estado de Shareholder de qualquer pessoa inclusive o seu a Parte Confiante As Secret Shares e informa es divulgadas ao Shareholder com rela o a suas responsabilidades como Sharehol der constituir em Informa es Sigilosas Confidenciais conforme a PC 2 8 1 o ERTI ne imprensaoficial 12 VTN PC 1 indd 66 D 12 21 04 3 47 45 PM E TEEN O EEE O Adicionalmente os Centros de Processamento dever o incluir em seus planos de recupera o de desas tre provis es para que os Shareholders disponibilizem suas Secret Shares em um local de recupera o de desastre ap s ocorrido o evento Cada Centro de Processamento manter uma pista de auditoria de todas as Secret Shares os Sharehol ders dever o participar da manuten o de uma trilha de auditoria 6 4 3 Outros aspectos dos dados de ativa o Classe 1 3 6 4 3 1 Transmiss o de dados de ativa o Classe 1 3 No que se refere aos dados de ativa o de chaves privadas os Participantes da VTN dever o proteger a transmiss o de tais dados de ativa o de suas chaves privadas usando m todos que protejam contra a perda roubo modifica o divulga o ou uso n o autorizado de tais chaves privadas Por exemplo os Centros de Processamento dever o assegurar a transfer ncia das Secret Shares realizada conforme a PC 6 4 2 Ademais no que se refere ao uso de nomes e senhas do Windows ou de usu rio de rede como dados de ativa o para Assi
144. ever o proteger os segmentos de chave privada nestes servidores usando um Sistema Confi vel 6 2 1 Padr es para m dulos criptogr ficos Classe 1 3 Os Centros de Processamento dever o realizar todas as opera o criptogr ficas de AC com suas pr prias chaves privadas e as chaves privadas dos Centros de Atendimento ao Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seus Subdom nios em m dulos criptogr ficos classificados com m nimo FIPS 1401 de n vel 2 Os Centro de Servi os dever o realizar todas as opera es criptogr ficas da AR em um m dulo criptogr fico classificado em FIPS 140 1 n vel 2 A VeriSign recomenda que os Clientes de PKI Gerenciada realizem todas as opera es criptogr ficas de Administra o Automatizada em um m dulo criptogr fico classificado em FIPS 140 1 n vel 2 os Clientes Gateway Classe 1 devem executar todas as opera es criptogr ficas da AC em um m dulo criptogr fico classificado em FIPS 140 1 n vel 1 Os requisitos de classifica o nesta se o est o sujeitos s exig ncias locais aplic veis por classifica es mais altas 6 2 2 Controle multipessoal n de m para chave privada Classe 1 3 O controle multipessoal dever ser implementado para proteger os dados de ativa o necess rios para ativar chaves privadas de AC mantidas por Centros de Processamento conforme o Guia de Refer ncia da Cerim nia de Gera o de Chave e o Guia de Requisitos de Seguran a e Audit
145. ficado de Gateway certifica a chave p blica do Cliente Gateway Portanto quando um Terceiro obt m um Certificado emitido por um Cliente Gateway este Terceiro capaz de validar uma cadeia de certificados com a ajuda dos Certifi cados PCA VTN incorporado ao software do terceiro Sendo assim os servi os Gateway tornam desnecess rio para um Cliente Gateway distribuir um Certificado de raiz com assinatura pr pria a partir de sua AC Depois de emitido o Certificado Gateway um Cliente Gateway relacionado a um Centro de Processamento A partir de uma instala o de seguran a ele emite gerencia e revoga Certifi cados Os Assinantes devem ser Indiv duos Afiliados com rela o ao Cliente Gateway No mo mento o programa Gateway cobre apenas Certificados de Classe 1 Portanto os requisitos de seguran a de Clientes Gateway s o mais brandos que os Centros de Processamento que emite m ltiplas classes de Certificados 1 1 2 2 Servi os de Certifica o de Valor Agregado 1 1 2 2 1 Servi os de Autentica o A VeriSign e Afiliadas oferecem servi os de autentica o para empresas como um acr scimo ben fico aos servi os de PKI Gerenciada Nestes servi os a VeriSign ou a Afiliada confirmar o a identidade do Solicitantes ao Certificado em nome dos clientes Este tipo de servi o execu ta fun es de autentica o para os Clientes de PKI Gerenciada de forma terceirizada Estes Clientes de PKI Gerenciada pode terceirizar a autent
146. ficial 12 VTN_PC_1 indd 2 D 12 21 04 3 47 08 PM ET j j i O EEE O detalhados A VeriSign e cada Afiliada possui um DPC que descreve como os Padr es VTN s o atendidos Finalmente a VeriSign e cada Afiliada usam os contratos e documentos correlatos para determinar os requisitos aos Participantes da VTN A VeriSign e a PMA atualizam a PC e os documentos operacionais e de seguran a secund rios da VTN Em compara o a VeriSign e cada Afiliada mant m suas pr prias DCPs e contratos secund rios Cada Afiliada deve escolher e atualizar uma DPC e tamb m definir um conjunto de contratos secund rios como uma condi es de in cio e continua o das opera es como uma Afiliada participante da VTN Estes documentos devem ser revisados e aprovados pela PMA A Tabela 1 uma matriz que exibe v rios documentos de pr ticas VTN estejam eles dispon veis publicamente ou em suas instala es A lista na tabela 1 n o deve ser exaustiva Observe que os documentos n o divulgados publicamente s o confidenciais para preservar a seguran a da VTN Documentos Status Onde est o dispon veis ao p blico P blico Reposit rio VeriSign de acordo com PC 8 2 2 Consultar https I Iwww verisign com repository Pol ticas de Certificados VeriSign Trust Network Documentos Operacionais e de Seguran a Secund rios da VTN Pol tica de Seguran a de Confidencial N A Informa o da Verisign Pol tica de Seguran a F
147. formidade realizadas por auditoras externas dever o ser conduzidas por empresas inde pendentes da entidade sendo auditada Tais firmas n o dever o ter conflitos de interesse que lhes impe am de executar os servi os de auditoria Com rela o s auditorias internas consulte o par grafo 2 7 2 1 2 7 4 T picos Cobertos pela Auditoria Os t picos de auditora para cada categoria de entidade s o definidos abaixo A entidade auditada pode rea lizar uma Auditoria de Conformidade um m dulo que faz parte de uma auditoria geral anual dos sistemas de informa o da entidade o ERTI a imprensaoficial 12VTN PC finda 31 D 12 21 04 3 47 25 PM E TEEN O EEE O 2 7 4 1 Auditorias Internas de Clientes Gateway Classe 1 Um guia de programa de auditora que descreve os procedimentos de auditoria de Clientes Gateway Os Clientes Gateway dever o cumprir com sua auditoria de conformidade anual atrav s de auditoria interna que atestam o cumprimento dos objetivos de controle do guia de programa de auditoria e observa o de quaisquer exce es ou irregularidades 2 7 4 2 Auditorias Internas de Clientes de PKI infra estrutura de Chave P blica Gerenciada Classe 1 2 Um guia de programa de auditoria descreve os procedimentos para auditoria de Clientes de PKI Ge renciada que aprova solicita es de certificado de Classe 1 e 2 Os Clientes de PKI Gerenciada dever o cumprir com sua auditoria de conformidade anual atrav s de auditoria intern
148. funcional do c digo ou conte do assinado produtos ou servi os oferecidos ou fun es de suporte ao cliente destes Assinantes Finalizando os Certificados ASB corporativos de classe 3 permitem que um representante autori zado da empresa atuem em seu nome Eles s o adequados para a troca de mensagens inter intra organizacional comercial e pessoal usando assinaturas digitais e criptografia de confidencialidade bem como autentica o cliente onde o remetente ou usu rio considerado uma organiza o em vez de um indiv duo com um alto n vel de seguran a com rela o s classes 1 e 2 1 3 4 2 Aplica es Restritas Em geral os Certificados VTN servem para finalidades gerais Eles podem ser utilizados globalmente e na intera o com Parte Confiante no mundo todo O uso de certificados VTN n o se restringem a um ambiente comercial espec fico como sistema piloto de servi os financeiros ambiente de mercado ver tical ou mercado virtual Entretanto tal uso permitido sendo que os Clientes que utilizam Certifica dos dentro de seus pr prios ambientes podem determinar restri es adicionais no uso de certificados em tais ambientes A VeriSign e demais participantes da VTN n o se responsabilizam pela monitora o ou aplica o destas restri es nestes ambientes Entretanto alguns certificados VTN s o limitados quanto fun o Por exemplo os certificados de AC podem ser usados apenas em fun es de AC Adicionalmente
149. ga o e renova o de certificados de uma instala o segura protegendo chaves priva das da AC A VeriSign um Centro de Processamento que comporta todas as APCs da VTN e certas ACs em sua instala o segura de ACs As Afiliadas tamb m podem estabelecer um Centro de Processamento com a aprova o da VeriSign Os Centros de Atendimento ao Cliente por sua vez s o Afiliadas atuando como ACs que n o possuem seus o ERTI o imprensaoficial 12 VTN_PC_1 indd 16 D 12 21 04 3 47 17 PM E TEEN O EEE O pr prios centros de processamento Elas realizam fun es prim rias de AR por m terceirizam a um centro de processamento seja da VeriSign ou um Centro de Processamento Afiliado suas fun es secund rias Clientes de PKI Gerenciada como Centros de Servi o passam a ser ACs dentro da VTN Como Centros de Atendimento ao Cliente os Clientes de PKI Gerenciada terceirizam as fun es secund rias a um Centro de Processamento enquanto mant m as fun es de AR Clientes Gateway que usam o software de servidor da Nestcape ou Mi crosoft para emitir Certificados de Classe 1 Os Clientes Gateway executam tanto as fun es prim rias como secund rias Finalmente o contrato de Clientes ASB com a VeriSign ou uma Afiliada se torna uma AC que emite Certificados nomeando o Cliente ASB como a Autoridade Certificadora Os Clientes ASB por sua vez terceirizam VeriSign ou Provedora ASB Afiliada todas as fun es prim rias e secund rias excet
150. gn comporta dois tipos de Afiliadas Primeiro as Afiliadas se tornam Centros de Processamento criando uma hospedagem segura de instala es dentre outras coisas sistemas de ACs incluindo m dulos de criptografia portando chaves privadas para uso na emiss o de Certificados Os Centros de Processamento atuam como ACs na VTN realizando todos os servi os de ciclo de vida de Certificados como a emiss o gerenciamen to revoga o e renova o de certificados Eles tamb m oferece servi os de ciclo de vida pra seus Clientes de Gerenciada ou Clientes de PKI Gerenciada de outros Centros de Servi o a ele subordinados Depois as Afiliadas se tornam Centros de Servi o o que n o implementa uma instala o para servi os de ciclo de vida de certificado e fun es secund rias Em vez disso os Centros de Servi o aprovam ou rejeitam Solicita es de Certificado no caso de Certificados de Varejo ou no caso de Certificados de PKI Gerenciada os centros de servi o coordenam com um Centro de Processamento o fornecimento de servi os secund rios de ciclo de vida de Certificados aos Clientes de PKI Gerenciada Afiliadas Centros de Servi o que oferecem Certificados a clientes Centros de Atendimento ao Cliente se tornam ACs dentro da VTN por m terceirizam as fun es secund rias com a VeriSign ou outro Centro de Processamento Ao fornecer Certificados de servidor os Centros de Servi o passam a ser Autoridades de Registro ARs
151. guran a SSL oferece a criptografia de dados autentica o de servidor integridade de mensagem e autentica o cliente opcional para uma conex o TCP IP Guia de Requisitos Documento da VeriSign que define os requisitos e pr ticas de seguran a e auditoria para de Seguran a e Auditoria Centros de Processamento e Centros de Servi o An lise de Uma an lise de uma Afiliada realizada pela VeriSign antes que esta Afiliada possa iniciar Seguran a e Pr ticas suas opera es o ERTI 2o imprensaoficial 12 VTN_PC_1 indd 80 D 12 21 04 3 47 53 PM Server Gated Tecnologia que permite servidores Web que tenham emitido uma ID de Servidor Cryptography Global para criar uma sess o SSL com um navegador criptografado com alta prote o criptogr fica Veja PKI Gerenciada para Servidor Cliente SSL Server OnSite Veja PKI Gerenciada para Cliente SSL Centro de Servi os para Um Centro de Servi os que uma Afiliada fornecendo IDs de Servidor Seguro e IDs de Servidores Servidor Global seja na linha de neg cios Web Site ou Enterprise Centro de Servi os Uma Afiliada que n o aloja unidades de assinatura de Certificado para a emiss o de classe ou tipo especial um Centro de Processamento realiza as fun es de emiss o gerenciamento revoga o e renova o de tais Certificados Subdom nio A parte da VTN controlada por uma entidade e entidades subordinadas dentro da hierarquia da VTN Titular O portador da chave privada
152. i sanesbdleimasgidasiassa oacassnd 52 5 1 1 Constru o e localiza o das instala es ssssesunenunennunnnununununnunnnunununnnnnnunununenunnnnunununenunennnnnnn 52 5 1 1 1 Requisitos para Clientes Gateway Classe 1 sssusunuenunnnunununnnnnnnnnnenununununnnnnnununnnnnnn 52 5 1 1 2 Requisitos para Clientes de PKI Gerenciada Classe 1 3 nssssssssussnsuennuneennenenenennnnnn 52 5 1 1 3 Requisitos para Centros de Servi o Classe 1 3 n renan 52 5 1 1 4 Requisitos para Centros de Processamento Classe 1 3 csisesemeessemeseneeres 52 5 1 2 ACESSO TISICO E E A E E ssgadsaia sor snsdscass 53 5 1 2 1 Requisitos para Clientes Gateway Classe 1 e Clientes de PKI ssssssssiees 53 5 1 2 2 Requisitos do Centro de Servi o Classe 1 3 s ssssusssussnsuenunenunenennnnunnnnnnnunennnnnnnnnnnnn 53 5 1 2 3 Requisitos para Centros de Processamento Classe 1 3 sssssssssnsnsnsunnnnnenunnnnnnnnnnennnn 53 12VTN PC t indd VI D 12 21 04 3 47 03 PM E JRERHE O EEE O 5 1 3 Energia e ar condicionado Classe 1 3 ssssssusseunsennnnnnennnnnnunnnunnnnnnnnunununenennnnunnnunnnnnnnnnnnnan ananman nn 53 5 1 4 Exposi o gua Classe 1 3 saassassssscsscssssesossossesossasoncasssoseescesssinacassasspascacsasecalnscaseacaconsacnsssanesasa 53 5 1 5 Preven o e prote o contra inc ndio Classe 1 3 nn eerersrenearensana 54 5 1 6 Armazenamento de m dia Classe 1 3 ssn
153. ibuir a esta extens o um valor de sequ ncia vazia O campo de criticalidade desta extens o deve ser definido como TRUE verdadeiro para os Certificados e para os demais casos como FALSE falso Os Certificados de AC X 509 Vers o 3 emitidos a APCs Centros de Processamento e Centros de Servi os Cliente dever o ter um campo pathLenConstraint da extens o BasicConstraints definido conforme o n mero m ximo de certificados de AC em um caminho de certifica o Certificados de AC emitidos para AC online de Clientes de PKI Gerenciada e Clientes Gateway emitindo Certificados de Assinante dever o ter um campo pathLenConstraint definido em 0 indicado que somente um Certificado de Assinante pode seguir o caminho de certifica o 7 1 2 5 Utiliza o de chave prolongada Os Centros de Processamento e Clientes Gateway dever o preencher os Certificados de Entidade Final VTN X 509 Vers o 3 com uma extens o ExtendedKeyUsage configurada para incluir os OIDs o ERTI i imprensaoficial 12 VTN_PC_1 indd 70 amp 12 21 04 3 47 47 PM E TEEN O EEE O principais mostrados na Tabela 11 abaixo Exceto onde especificamente indicado abaixo esta exten s o normalmente n o inclu da em certificados de entidade final Por padr o a extens o Extende dKeyUsage definida como uma extens o n o cr tica Os Certificados de AC VTN n o incluem uma extens o ExtendedKeyUsage Certificados de AR Certificados Certificados Corpor
154. ica o de toda ou parte de sua base de o ERTI e imprensaoficial 12 VTN PC tiindd 12 D 12 21 04 3 47 15 PM E TEEN O EEE O usu rios Assinantes Com rcios e empresar que j conhecem parte de seus usu rios podem con siderar til terceirizar a autentica o de uma parte desconhecida de sua base de usu rios A execu o de servi os terceirizados de autentica o estar sujeita a um contrato com a VeriSign ou Afiliada Ao ponto em que a VeriSign ou uma Afiliada conduz certas atividades de autentica o para Clientes de PKI Gerenciada onde a VeriSign ou uma Afiliada seriam obrigadas a cumprir com as obriga es desta PC do Cliente de PKI Gerenciada em seu nome O cumprimento dessas obri ga es n o exime o Cliente de PKI Gerenciada de suas obriga es na PC ao ponto em que o Cliente de PKI Gerenciada det m as responsabilidades de autentica o para parte de sua base de usu rios ou outras fun es tais como iniciar solicita es de revoga o Outro servi o de autentica o de valor agregado o programa do Centro de Servi os de Auten tica o da VeriSign VeriSign Authentication Service Bureau Este programa possibilita que a VeriSign e Afiliadas confirmem a identidade dos Assinantes em nome de uma organiza o A VeriSign e Afiliadas oferecem este servi o organiza es como operadores de extranets ou mercados B2B ou B2C atrav s de um contrato adequado para estes servi os Clientes ASB No progra
155. icita es de Certificado e a aceita o rejei o ou outro processamento de Solicita es de Certificado solicita es de revoga o ou de renova o ou informa es de inscri o e a emiss o ou revoga o de Certificados incluindo no caso de Centros de Processamento as pessoas que t m acesso a partes restritas de seus reposit rios e ou que lidem com informa es ou solicita es de Assinante Pessoas Qualificadas incluem tamb m qualquer pessoa identificada como tal no Guia de Requisitos de Seguran a e Auditoria As Pessoas Qualificadas incluem por m n o se limitam a funcion rios de servi o do cliente pessoal de admi nistra o de sistema pessoal de engenharia designado e executivos que possam ser designados para gerenciar a fiabilidade infra estrutural o ERTI ii imprensaoficial 12 VTN_PC_1 indd 54 D 12 21 04 3 47 38 PM E PREEHE O EEE O 5 2 1 2 Perfis Qualificados de Centro de Servi os e Cliente de PKI Gerenciada Classe 1 3 Os Centros de Servi o e Clientes de PKI Gerenciada dever o considerar as categorias de funcion rios identificadas nesta Se o como Pessoas Qualificadas com uma Posi o Qualificada As Pessoas Quali ficadas s o todos os funcion rios contratados e consultores que t m acesso ou controlam opera es que possam materialmente afetar e a valida o das informa es nas Solicita es de Certificado e a aceita o rejei o ou outro processamento de Solicita
156. icita es para outras permiss es de reprodu o das Pol ticas de Certificado VeriSign bem como solicita es de c pias da VeriSign devem ser encaminhadas VeriSign Inc 487 E Middlefield Road Mountain View CA 94043 EUA Attn Practices Development Tel 1 650 961 7500 Fax 1 650 426 7300 Net practicesQverisign com Agradecimentos A VeriSign agradece pela inestim vel assist ncia de J F Sauriol do Labcal Technologies Inc http Avww labcal com com os elementos t cnicos e estrutura das Pol ticas de Certi ficados da VeriSign Trust Network A VeriSign tamb m gostaria de agradecer aos in me ros revisores que participaram do documento especializados nas mais diversas reas de administra o direito pol tica e tecnologia 12 21 04 3 46 59 PM E JRERHE O EEE O ndice LE LiLo oE er Yo anea AAE E E 1 1 1 Vis o Geral siiiicadisisasaciogisiieiadZiniada geada asioin arenis sanoinaan rmi dedo dado bas fadada ias aid dedo ada idea 1 1 1 1 Vis o Geral da Pol tica n sn reeeeraeaneraeaenaseanaeararasnneseramesarara nar ESSENS 5 1 1 2 Escop de Servi os da VTN Suite n nn rererseeenneemeaenneraorameseramnameaeramenanaa 8 1 1 2 1 Servi os de Distribui o de Certificados nn iceesrensarenaanenaa 8 1 1 2 1 1 PKI Gerenciada VeriSignO nn reerereceeenememeneneeracramenanaa 8 1 1 2 1 2 Programa de Afilia o VeriSign ni eerereneerenaenenaa 10
157. ificado Uma solu o de recupera o de chave para Clientes de PKI Gerenciada que optam por implementar a recupera o da chave em um contrato especial de PKI Gerenciada Documento da VeriSign contendo os requisitos operacionais e pr ticas para um Cliente de PKI Gerenciada usando um Administrador de Chave de PKIGerenciada Um tipo de servi o de PKI Gerenciada que permite organiza o se tornar uma Autoridade de Registro dentro da VTN para auxiliar na emiss o deCertificados Clientes para uma AC da VeriSign ou Afiliada Um tipo de servi o de PKI Gerenciada que permite organiza o se tornar uma Autoridade de Registro dentro da VTN para auxiliar na emiss o de Ids de Servidor Seguro para uma AC da VeriSign ou Afiliada dentro dos dom nios designados Esta AC delega aos Clientes de PKI Gerenciada Servidor as fun es de AR de aprova o e rejei o de Solicita es de Certificado revoga es e renova es de IDs de Servidor Seguro Uma organiza o que obteve servi os de PKI Gerenciada para SSL da VeriSign ou Afiliada Um tipo de servi o de PKI Gerenciada que permite organiza o se tornar uma Autoridade de Registro dentro da VTN para auxiliar uma AC da VeriSign ou Afiliada na emiss o de Ids de Servidor Seguro nos dom nios designados Esta AC delega s PKIs Gerenciadas para Clientes SSL Premium Edition Clientes de PKI Gerenciada as as fun es de AR para a aprova o ou rejei o de Solicita es de Certifica
158. ificado corporativo de classe 3 usado no suporte s sess es de SSL entre navegadores e servidores que est o criptografados utilizando uma s lida prote o criptogr fica consistente com as leis de exporta o aplic veis Global Server OnSite Veja PKI Gerenciada para SSL Premium Edition Global Server OnSite Veja PKI Gerenciada para Cliente de SSL Premium Edition Customer Go Secure Um conjunto de servi os plug and play estruturados pelos servi os de PKI Gerenciada e criados para acelerar os aplicativos de com rcio eletr nico Direitos de Propriedade Direitos sobre um ou mais dos seguintes direitos autorais patente segredo industrial Intelectual marca comercial e quaisquer outros tipos de direitos de Intermediate Certification Uma Autoridade Certificadora cujo Certificado est localizado dentro deuma Cadeia de Authority Certificados entre o Certificado da AC raiz e o Certificado de uma Autoridade Certificadora D AC Intermedi ria que emitiu um certificado amp de Assinante Guia de Refer ncia Um documento que descreve os requisitos e pr ticas para a Cerim nia de Gera o de da Cerim nia da Chave Chave Cerim nia de Gera o de Um procedimento onde o par de chave de uma AC ou AR gerado sendo transferida sua Chave chave privada para um m dulo criptogr fico feita a c pia de seguran a da chave e ou a certifica o da chave p blica Administrador de Um administrador que executa as fun es
159. inatura digital Al m disso o remetente de um e mail codificado pode usar o certificado do destinat rio para codificar uma chave que por sua vez usada para codificar a mensagem Somente o destinat rio que possui a chave p blica correspondente chave p blica no Certificado pode obter a chave e assim decodificar a mensagem Antes de um Assinante obter um Certificado ele deve primeiro se inscrever como Solicitante de Certificado Os can didatos a certificado devem completar o processo de inscri o estabelecido por uma AC ou R no qual a Solicita o de Certificado apresentada AC ou AR Em resposta solicita o de certificado a AC ou AR confirma a identidade e ou atributos do Solicitante de Certificado e aprova ou rejeita a solicita o Em caso de aprova o um Certificado emitido ao candidato Ap s a emiss o a AC disponibiliza o Certificado ao candidato Na maioria dos casos um Solicitante de Certificado re cupera um certificado Cliente acessando uma p gina da web espec fica que carrega o certificado no software Como alternativa o Certificado pode ser entregue ao Solicitante que dever carreg lo em seu software Tal recupera o e ou carregamento de um Certificado em software constitui a aceita o do Certificado ao passo que o Solicitante se torna um Assinante a menos que mesmo tenha manifestado pr via aceita o O Assinante deve revisar o Certificado e notificar a AC ou AR sobre erros em seu conte do ap
160. ini o Administrador Uma Pessoa Qualificada dentro da organiza o de um Centro de Processamento Centro de Servi os Cliente de PKI Gerenciada ou Cliente Gateway que executa a valida o e outras fun es de AC e AR Certificado do Certificado emitido a um administrador deve ser usado apenas para a execu o das Administrador fun es de AC ou AR Afiliada Parte Confiante l deres no ramo de tecnologia telecomunica es ou servi os financeiros que fizeram um contrato com a VeriSign para se tornar um canal de distribui o e servi os na VTN em um territ rio Guia do Programa de Documento espec fico da VeriSign contendo os requisitos para Auditorias de Conformidade Auditoria de Afiliadas incluindo as Metas de Controle de Administra o de Certificado contra as da Afiliada quais as Afiliadas s o auditadas Guia de Requisitos de Documento da VeriSign contendo os requisitos DPCs de Afiliadas bem como contratos Pr ticas procedimentos de valida o e pol ticas de privacidade e outros requisitos que as Afiliadas Legais da Afiliada devem preencher Indiv duo Afiliado Pessoa f sica relacionada a um Cliente de PKI Gerenciada Cliente de PKI Gerenciada Lite ou Cliente Gateway i como um como um oficial diretor funcion rio contratado estagi rio ou qualquer outra pessoa dentro da entidade ii como membro de uma comunidade de interesses registrada da VeriSign ou iii uma pessoa que mant m uma rela o com a entidade
161. istnindaaidnaddadicosuadsniddda de idni dani iiecasinisuadiisccndin d 22 1 4 3 Pessoa que Determina a Adequabilidade do CPS para a Pol tica s sn 22 2 DISPOSI ES GERAIS cscsserasessirasasiacascassaisaissaicicadtesendmaaaricarodaihzanvadidanindacidalcensancaden fais cusibua fest da disbaceacsasuaaannssniiridm 22 21 Obriga es Classes 1 3 aziiizasiesissvaioaosis frescas iaiaea io cuiasioia araarida fodendo aa araa Ea a aana iaa aaa 22 2 1 1 Obriga es da AC sissies anaana sea seiaii cansa aaaea saaara PAn ai aSa Eaa dh ASNES raean adia winio 22 2 1 1 Obriga es d AR siise iana aaaea asan saaan aaaea eaaa raaraa AE Aaa EAE Esaa EEan ane Enas 22 2 1 3 Obriga es do Titular Assinante sssssssssssuensunnsunennuennunennnnnnnnnnnnnnununnnnnnnnunnnnnnnnnnnnnnnnnnnn nnen nnen 23 2 1 4 Obriga es de Parte Confiante Relying Party ss ssssnusununnnnnnnunununnnununnnnnnunununnnnnnnnununnnnnnnnnn nn 23 2 1 5 Obriga es do Reposit rio sn aunn naa innana nanon sada anann vaaata tannas ranana an anana 24 22 Responsabilidade Classe 1 3 saaasissaassiesescascemcasssiecasicicancas enieorionacastranacesavcencaicusnanti tendas sein sanncasasis o 24 2 2 1 Responsabilidade da Autoridade Certificadora nn ierererereneanentanas 24 2 2 1 1 Garantias da Autoridade Certificador a Titulares e Parte Confiante 25 2 2 1 2 Termos de Exonera o de Garantias
162. istros sssessusesenunsnennunnnununennnnunnnununennunnnnnununununnnnunununennnnnnnnnn enen nn a 49 4 6 6 Sistema de coleta de dados de arquivo sssssssssensnunsununununennnnununununennunnnunenunennunnnunenunenununnnnnnenen nna 50 4 6 7 Procedimentos para obten o e verifica o da informa o do arquivo 50 4 7 Troca de chave Renova o Classe 1 3 s ssssssnsusnsunnnununnunnnunennnnnnnnununununnnnnnunnnununnnnnnnnnnnnnnnnnnnn nnaman annann nn 50 4 8 Comprometimento e recupera o de desastre Classe 1 3 e ererereanereanenena 50 4 8 1 Recursos computacionais software e ou dados corrompidos s ras 50 4 8 2 Chave da AC revogada nn nn ereseasaseraceameaceacesaracanaaoacraaacracaaara camara cnamnaa a 50 4 8 3 Chave da AC est comprometida ssssssuensusenununonunnunnnununenunnunnnununennnnnnununununnnnnnununnnennnun nnnm enen nn a 50 4 8 4 Instala o segura ap s desastre natural ou outro tipo de desastre non 51 4 9 Extin o da AC Classe 1 3 acesse issiasasesscesssoaqueiivcuscaosdoodiad ici danada ua dni ora esc g oa nando cuenisicv canais vicaidducdanin ia 51 5 CONTROLES DE SEGURAN A F SICA PROCEDIMENTAIS E DE PESSOAL eemereeeeeseseneemeesermeeeeseraea 52 5 1 Controles fisicos 5 0 0 25 00525552550055250005500005620655505005Silpanaadsnsiorosoflbas gajas va bifpidadio dad iicds D
163. ition e Provedores ASBs Al m disso os Centros de Servi o de Servidor e Provedores ASB dever o assegurar que os Contratos de Assi nante e Parte Confiante vinculam Assinantes e Parte Confiante a seus respectivos subdom nios conforme rege o par grafo 2 1 1 desta PC Este requisito n o se aplica a outras ARs 2 1 3 Obriga es do Titular Assinante Os candidatos ao Certificado dever o fornecer informa es completas e precisa sobre as solicita es de Certi ficado e dever o manifestar sua aquiesc ncia quanto ao contrato de Assinante aplic vel como condi o para obten o do Certificado Os Assinantes dever o realizar as fun es de Assinantes conforme determina as obriga es espec ficas apre sentadas nesta PC Os Assinantes dever o usar seus Certificados conforme rege o par grafo 1 3 4 da PC Os assinantes dever o proteger as chaves privadas conforme regem os par grafos 6 1 6 2 6 4 desta PC Se um Assinante descobrir ou tiver motivos para acreditar que houve um comprometimento da chave privada do As sinante ou dos dados de ativa o que protegem tal chave privada ou que as informa es no Certificado est o incorretas ou foram alteradas dever o Assinante e Notificar prontamente a entidade que forneceu a solicita o de Certificado seja uma AC ou AR conforme o par grafo 4 4 1 1 da PC e solicitar a revoga o do Certificado conforme os par grafos 3 4 4 4 3 1 desta PC e notificar qualquer pesso
164. ivamento da chave privada Classe 1 3 sssssussnsesneunnnunununennuunnunenununennnnunnnnnnnnnnnnnnnnnn ennn nn nnna 61 6 2 6 Inser o de chave privada no m dulo criptogr fico Classe 1 3 n no 62 6 2 7 M todo de ativa o de chave privada s ssssenunsunusenunennnnnnununununnunnnununununununnunnnununennnnunnnenunen nannan 62 6 2 7 1 Chaves privadas de assinantes sssusesusensuennunenunenonunnununununununnunnnununenunnnnunenunennnnn nunen 62 6 2 7 1 1 Certificados de Classe 1 s ss eeensereceserecesenemeereoemerereenecremeseneeseneanso 62 6 2 7 1 2 Certificados de Classe 2 aasisiassesssacaasisiecmasristasascrasassaipincasasciemsasiisacesaoascaniia 62 6 2 7 1 3 Outros Certificados de Classe 3 exceto Certificados do Administrador 62 6 2 7 2 Chaves Privadas de Administradores Classe 3 n sssnsnunsnnnunnunnnnnunnnunnnnnnnnnnnnnnnnnnnnnnnn nnna 63 12VTN PC tindd Vil D 12 21 04 3 47 04 PM 6 2 7 2 1 Administradores sa sinissisissesiasicsiiesiadinisiesiaeiisce nata dietas dra oacinci anti ciiastndia 63 6 2 7 2 2 Administradores de PKI Gerenciada usando um M dulo Criptogr fico com servi o de Administra o Automatizada ou Gerenciador de Chave de PKI Gerenciada ssusunsnununnnnnnnnnnunnnnnunnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnn nnana 63 6 2 7 3 Chaves Privadas de Clientes Gateway Classe 1 sssssssssnssnnnunnnnunnnnnnnnnnnnnnunnnunnnnnnnnnnnnnn 63 6 2 7 4 Chaves Privadas Mantidas po
165. iza es que se inscrevem no site da Afiliada Todas as Afiliadas atuantes no ramo de neg cios de Web Site s o Autoridades de Registro para uma Autoridade Certificadora VeriSign embora possam ser Centros de Processamento em uma ou mais linhas de neg cio Empresa refere se a Afiliadas que oferecem servi os de PKI Gerenciada VeriSign a seus Clien tes Estas Afiliadas seja um Centro de Processamento ou um Centro de Servi o obt m Clientes de PKI Gerenciada e celebram o contrato de PKI Gerenciada adequado para a presta o de servi os secund rios A linha de neg cios Empresa por sua vez dividida em duas linhas de neg cio Empresa cliente e Empresa servidor Os neg cios da Empresa cliente concentram se em organiza es que desejam obter Certificados clientes que podem vir a ser Clientes de PKI Gerenciada ou Clientes de PKI Gerenciada Lite atrav s da celebra o do Contrato de PKI Ge renciada com uma Afiliada Se a Afiliada um Centro de Processamento ela ent o realiza suas pr prias fun es secund rias para estes Clientes de PKI Gerenciada Em compara o um Centro de Servi o de acordo com seu contrato com o Centro de Processamento atribui ao Centro de Processamento as fun es secund rias para os Clientes de PKI Gerenciada ou Clientes de PKI Gerenciada Lite do Centro de Servi o Com rela o a neg cios servidor Corporativo as organiza es de desejam obter IDs de Servidor Seguro ou IDs de Servidor Globa
166. jam alteradas ou removidas elas tornar se o efetivas a partir da expira o do per odo de coment rio determinado na Se o 8 1 2 3 8 1 3 Altera es que exigem mudan as adicionais nos OIDs da pol tica de certificado ou Indicador da PC Se a PMA difere quanto necessidade de uma altera o no OID correspondente a uma pol tica de Certificado a altera o dever conter novos OIDs para estas pol ticas OID Object Identifier de Pol tica de Certificado Pol ticas de Publica o e Notifica o 8 2 1 Itens n o publicados na PC Documentos e informa es de seguran a contidos na PC considerados confidenciais pela VeriSign e Afiliadas n o ser o divulgados ao p blico em geral Os documentos de seguran a confidenciais incluem os documentos identificados na PC 8 1 1 a Tabela 1 como documentos que n o s o disponibilizados ao p blico o ERTI o imprensaoficial 12 VTN PC 1 indd 73 D 12 21 04 3 47 48 PM E Enn O EEE O 8 2 2 Distribui o da PC Esta PC est publicada em formato eletr nico no Reposit rio da VeriSign em https Avww verisign com CP Esta PC est dispon vel em formato impresso na PMA mediante solicita o enviada para VeriSign Inc 487 E Mi ddlefield Road Mountain View CA 94043 EUA Attn Practices Development 8 3 Procedimentos de Aprova o da DPC As Afiliadas da VTN dever o possuir suas pr prias DPCs Uma PC de uma Afiliada reger o Subdom nio desta Afiliada dentro da VTN A
167. l podem ser tornar PKIs Gerenciadas para Clientes SSL ou Clien tes SSL Premium Edition celebrando um Contrato de PKI Gerenciada com a Afiliada As Afiliadas que atuam na rea de neg cios de servidores Corporativos s o Centros de Servi o que terceirizam com a VeriSign as obriga es de execu o de servi os de PKI Gerenciada para estes Clientes de PKI Gerenciada Uma Afiliada pode ter tanto um Centro de Servi o como um Centro de Processamento Por exem plo uma Afiliada por optar por emitir Certificados de sua instala o segura como um Centro de Processamento na linha de neg cios para Consumidor por m aprovam Solicita es de Certificado para Certificados servidor como um Centro de Servi o na linha de neg cios para Web Site 1 1 2 1 3 Programa Universal do Centro de Servi o Universal e Outros Programas para Revendedores A VeriSign e Afiliadas previamente autorizado por escrito pela VeriSign podem desenvolver um programa para a realiza o de contratos com entidades que anunciam seus servi os a mer cados espec ficos Revendedores Al m disso O Programa Universal de Centros de Servi os permite que Centros de Servi o Universais promovam os servi os da VeriSign em mercados espec ficos usando uma plataforma de software especializada para o gerenciamento de im planta o de PKI complexo Os Centros de Servi o Universais s o importantes provedores de servi os que vendem PKIs Gerenciadas e servi os relacionad
168. lacionados seguran a e caminho confi vel para identifica o de perfis e PKI e identidades associadas 6 5 1 3 Controles para Centros de Servi o e Clientes de PKIs Gerenciadas Classe 1 3 Os Centros de Processamento e Clientes de PKI Gerenciada dever o assegurar que os sistemas mantendo o software da AR e arquivos de dados s o Sistemas Confi veis protegidos contra o acesso n o autoriza do que pode ser demonstrado pela conformidade com os crit rios de auditoria aplic veis na PC 2 7 4 Os Centros de Servi os e Clientes de PKI Gerenciada dever o separar logicamente o acesso a estes sistemas e informa es a partir de outros componentes Esta separa o impede o acesso rede exce to atrav s dos processos definidos Os Centros de Servi o e Clientes de PKI Gerenciada dever o usar firewalls para proteger a rede contra invas es internas e externas e limitar a natureza das atividades de rede que podem acessar tais sistemas e informa es Os Centros de Servi o e Clientes de PKI Geren ciada dever o impor o uso de senha com um comprimento m nimo de caracteres e um combina o de caracteres alfanum ricos e especiais tal senha dever ser trocada periodicamente e sempre que se fizer necess rio O acesso direito ao banco de dados da AR do Centro de Servi os ou do Cliente de PKI Gerenciada mantenedor das informa es do Assinante limitar se s Pessoas Qualificadas no grupo operacional do Centro de Servi o ou Cliente de
169. lida para servi os externos VTN Por exemplo a VeriSign e certas Afiliadas oferecem servi os de r tu los privados com os quais as organiza es criam suas pr prias hierarquias privadas fora da VTN aprovam aplicativos certificados e terceirizam a VeriSign ou Afiliada para as fun es secund rias de emiss o gerenciamento revoga o e renova o de certificados Uma vez que a PC aplica se somente VTN ela n o se aplica a estas hierarquias privadas a Fun o de uma PC de VTN e Outros Documentos sobre Pr ticas A PC descreve em um plano geral a infra estrutura comercial legal e t cnica de uma rede VTN Dentre outros ela descreve especificamente e Aplicativos adequados para cada classe de Certificado bem como os n veis associados de seguran a e Obriga es das Autoridades Certificadores Autoridades de Registro Assinantes e Parte Confiante e Todas as disposi es legais que devem ser cobertas nos Contratos de Assinante VTN e Contratos com Parte Con fiante e Requisitos para auditoria e an lises relacionadas s pr ticas e seguran a e M todos de confirma o de identidade dos Solicitantes a Certifica o para cada Classe de Certificado e Procedimentos operacionais para servi os de ciclo de vida do Certificado Aplica es emiss o aceita o revoga o e renova o de Certificados o ERTI 1 imprensaoficial 12 VTN_PC_1 indd 1 D 12 21 04 3 47 08 PM E TEEN O EEE O
170. lo de vida de Certificado para o cliente ASB A VeriSign ou a Afiliada quando oferecem servi os do Bure au de Autentica o Provedor ASB Authentication Service Bureau services ASB Provider atuam como AR para o cliente ASB Um Provedor ASB pode ser um Centro de Processamento ou Centro de Servi o 1 1 2 2 2 Servi o de Cart rio Digital VeriSign O Servi o de Autentica o Notarial Digital VeriSign um servi o que oferece uma declara o assinada digitalmente Recibo Digital de que determinado documento ou conjunto de dados existiram em certo momento A VeriSign age como uma terceira parte que oferece garantia da hora e a integridade do documento ou informa es Uma das principais finalidades do Servi o de Autentica o Notarial Digital VeriSign a obten o de um Recibo Digital de um documento que faz parte de uma transa o comercial mostrando que o documento transacional existiu em dado momento da transa o O Servi o de Autentica o Notarial Digital VeriSign atende aos requisitos de com rcio eletr nico de Parte Confiante protege o arquivamento de dados con firma o de pagamento prova de viola o e auditoria de processo empresarial Este servi o uma oferta exclusiva para Clientes de PKI Gerenciada e seus Assinantes A VeriSign estabeleceu uma Autoridade em Data o e uma Autoridade Certificadora em Data o A CA de Data o emitiu um Certificado corporativo de Classe 3
171. ma do Centro de Servi os de Autentica o a VeriSign e Afiliadas oferecem Certificados individuais de Classe 2 Certificados ABS Individuais Classe 2 e Certificados corporativos de Classe 3 usados somente por representantes autorizados de organiza es interagindo com o Cliente ASB Certificados ASB Corporativos de Classe 3 Uma vez que a VeriSign ou a Afiliada fornece servi os de autentica o como um terceirizador o Cliente ASB se livra da despesa e tra balho de implementar a pol tica tecnologia e pessoal necess rio para confirmar a identidade de Solicitantes a Certificado desconhecidos Como a PKI Gerenciada o Centro de Servi os de Autentica o um servi o terceirizado Os Clientes ASB assinam um contrato com a VeriSign ou uma afiliada para se tornar uma AC Esta AC emite certificados comercializados em conjunto indicando que o Cliente ASB uma AC O Cliente ASB por m terceiriza a maioria das fun es de AC tanto prim rias como secund rias VeriSign ou Afiliada A nica fun o de AC que o Cliente ASB mant m a obriga o de iniciar a revoga o de Certificados emitidos pela AC do Cliente ASB conforme rege o par grafo 4 4 1 1 da PC embora a VeriSign ou a Afiliada tamb m possam processar solicita es de revoga o e comunica las diretamente Com exce o da obriga o do Cliente ASB em iniciar a revoga o a VeriSign ou a Afiliada realizam todas as confirma es de identidade e servi os de cic
172. me e identidade n o se faz necess ria Gateway endere o de e mail como Solicita es que exigem um na Classe 1 Varejo al m baixo n vel de da documenta o e de seguran a em compara o bancos de dados internos as outras Classes como de verifica o para navega o na Internet sem fins confirmar o Certificado comerciais e e mail com o credenciamento do Requerente junto ao Cliente de PKI Gerenciada ou Cliente Gateway como uma Afiliada Indiv duos Classe 2 Indiv duos Varejo e Centro Igual Classe 1 Varejo Melhora a seguran a do e mail de Servi os de al m da verifica o de por meio da criptografia de Autentica o informa es de registro confidencialidade assinaturas automatizadas ou fora digitais para autentica o e de banda com um ou controle de acesso baseado na mais bancos de dados Web Solicita es de Parte Confiante ou fontes compar veis o ERTI imprensaoficial 12VTN PC finda 6 D 12 21 04 3 47 11 PM Classe ad ERTISIGN 12 VTN PC 1 indd 7 Servi os com Certificados DIRIA Emitido para PKI Gerenciada Administradores Confirma o de Identidade do Solicitante de Certificado 88 3 1 8 1 3 19 da PC Igual Classe 1 Varejo al m da verifica o de documenta o e bancos de dados internos para confirmar a identidade do Solicitante de Certificado por ex documenta o e recursos humanos e que o Solicitante afiliado ao Cliente de PKI Gerenciada
173. minar manter e aplicar pol ticas de trabalho para a disciplina de funcion rios praticantes de a es n o autorizadas As a es disciplinares podem incluir medidas como a resci s o e dever o ser avaliadas com frequ ncia e severidade das a es n o autorizadas 5 3 7 Requisitos para contrata o de pessoal Classe 1 3 A VeriSign Afiliadas e Clientes dever o permitir que contratados aut nomos ou consultores se tornem Pessoas Qualificadas apenas o necess rio para acomodar rela es de terceiriza o claramente definidas e somente sob as seguintes circunst ncias 1 a entidade usando os contratados aut nomos ou consultores como Pessoas Qualificadas n o conta com profissionais qualificados em seu quadro de funcion rios para preencher os cargos de Pessoas Qualificadas 2 os contratados ou consultores s o confiados pela entidade da mesma forma como se fossem seus funcion rios No caso de contratados aut nomos e consultores tenham acesso s instala es de seguran a da VeriSign Afiliada ou Cliente somente se forem acompanhados e diretamente supervisionados por Pessoas Qualifica das 5 3 8 Documenta o fornecida ao pessoal Classe 1 3 A VeriSign Afiliadas e Clientes dever fornecer a seus funcion rios incluindo Pessoas Qualificadas o treina mento obrigat rio e outras documenta es necess rias para a execu o de suas tarefas de forma competente e satisfat ria 6 CONTROLES T CNICOS DE SEGURAN A
174. nante o Assinante usu rio final e n o um AC e n o est usando a chave privada corres pondente chave p blica listada no Certificado para fins de assinatura digital de qualquer Certifi cados ou qualquer outro formato de chave p blica certificada ou LCR como uma AC ou similar Onde uma solicita o de certificado de Assinante foi aprovada pelo Cliente de PKI Gerenciada usando Administrador de Chaves de PKI Gerenciada o Assinante garante apenas que nenhuma pessoa n o autorizada obteve acesso c pia da chave privada do Assinante na plataforma de hardware software do Assinante Estes assinantes n o concedem garantias no que se refere s c pias de suas chaves privadas em posse de Clientes de PKI Gerenciada usando o Administrador de Chaves para PKI Gerenciada 2 2 3 2 Comprometimento da Chave Privada Esta DPC define os Padr es da VTN para a prote o das chaves privadas dos Assinantes Consulte o par grafo 6 2 7 1 Os contratos de Assinante dever o constar que o Assinante que atenda aos padr es da VTN o nico respons vel por quaisquer perdas ou danos resultantes de tal falha 2 2 4 Responsabilidade de Parte Confiante Contratos de Assinantes e Parte Confiante dever o exigir que Parte Confiante reconhe am que t m infor ma es suficientes para tomar uma decis o embasada sobre at que ponto devem confiar nas informa es apresentadas em um Certificado que eles s o os nicos respons veis pela decis o de co
175. nantes ou Cliente Gateway as senhas transferidas pela rede dever o ser protegidas contra o acesso de usu rios n o autorizados 6 4 3 2 Destrui o de dados de ativa o Classe 1 3 Os dados de ativa o das chaves privadas de AC dever o ser desativados usando m todos para a pro te o contra perda roubo modifica o divulga o ou uso n o autorizado de tais dados de ativa o Findo os per odos de reten o determinado na CP 4 6 os Centros de Processamento dever o descar tar os dados atrav s da sobregrava o ou destrui o f sica 6 5 Controles de seguran a computacional As fun es de AC e AR dever o ocorrer em Sistemas Confi veis conforme o Guia de Requisitos de Seguran a e Audi toria no caso da VeriSign e Afiliadas 6 5 1 Requisitos t cnicos espec ficos de seguran a computacional 6 5 1 1 Controles para Centros de Processamento Classe 1 3 Os Centros de Processamento dever o assegurar que os sistemas mantendo o software da AC e ar quivos de dados s o Sistemas Confi veis protegidos contra o acesso n o autorizado que pode ser demonstrado pela conformidade com os crit rios de auditoria aplic veis na PC 2 7 4 Al m disso os Centros de Processamento dever o limitar o acesso aos servidores de produ o quelas pessoas com um motivo comercial v lido para o acesso Usu rios em geral n o devem ter contas em servidores de produ o Os Centros de Processamento dever o contar com
176. ndd 56 amp 12 21 04 3 47 39 PM E JRERHE O EEE O ou AR de maneira competente e satisfat ria Eles dever o ainda fazer revis es peri dicas dos programas de treinamento sendo que este deve endere ar os elementos relevantes s fun es realizadas pelos funcion rios Os funcion rios do atendimento ao cliente da Afiliada dever o ser aprovados no treinamento da Veri Sign como condi o da Afiliada para o in cio das opera es Os programas de treinamento devem abordar os elementos relevantes ao ambiente particular de trabalho da pessoa em treinamento incluindo e Princ pios de seguran a e mecanismos da VTN e do ambiente pessoal e Vers o de hardware e software em uso e Todas as tarefas a serem executadas pela pessoa e Relato e procedimento a adotar em caso de Incidentes e Comprometimento e Procedimentos de recupera o de desastre e continuidade do neg cio 5 3 4 Frequ ncia e requisitos para reciclagem t cnica Classe 1 3 A VeriSign Afiliadas e os Clientes dever o oferecer treinamentos e programas de reciclagem para seu pessoal na medida e frequ ncia necess rias para assegurar que os funcion rios ser o capazes de manter o n vel de profici ncia para executar suas tarefas de forma competente e satisfat ria 5 3 5 Freq ncia e sequ ncia de rod zio de cargos Classe 1 3 Sem estipula o 5 3 6 San es para a es n o autorizadas Classe 1 3 A VeriSign Afiliadas e Clientes dever o deter
177. nfiar ou n o em tais informa es e que dever o arcar com as consegu ncias legais da falha para cumprir com as Obriga es a Parte Confiante definidas no par grafo 2 1 4 desta PC 2 3 Responsabilidade Financeira Classe 1 3 2 3 1 Indeniza o devidas por Titulares e Parte Confiante 2 3 1 1 Indeniza o devidas por Titulares Conforme determina a legisla o aplic vel os contratos de Assinantes dever o exigir dele a inde niza o VeriSign e qualquer ACs e ARs que n o sejam da VeriSign a t tulo de e Falsidade ou adultera o do fato por parte do Assinante em sua solicita o de Certificado e Falha por parte do Assinante em revelar um fato material na solicita o de certificado se a adultera o ou omiss o foi feita negligentemente ou com inten o de enganar qualquer uma das partes e A falha do Assinante em proteger sua chave privada em usar um Sistema confi vel ou na tomada de medidas preventivas necess rias contra o comprometimento perda revela o modifica o e uso n o autorizado da chave privada do Assinante ou e O uso de um nome incluindo por m n o se limitam a um nome comum nome de dom nio ou endere o de e mail por parte do Assinante que infrinja sobre os direitos de propriedade intelec tual de Parte Confiante 2 3 2 Indeniza o devidas por Parte Confiante Conforme determina a legisla o aplic vel os contratos de Assinante e Parte Confiante dever o exigir que Parte Confia
178. nforma es sobre como obter acesso s informa es do arquivo consulte o par grafo 4 6 3 da PC 4 7 Troca de chave Renova o Classe 1 3 Um Certificado de AC pode ser renovado se a Entidade Superior desta AC reconfirmar sua identidade conforme dis posto nos par grafos 88 3 1 8 2 3 2 3 da PC Ap s a reconfirma o a Entidade Superior dever aprovar ou rejeitar a solicita o de renova o Depois de aprovar ou rejeitar a pr pria Entidade Superior no caso de um Centro de Processamento ou atrav s de um Centro de Processamento de n vel superior ao seu na VTN no caso de um Centro de Servi os dever realizar a Cerim nia de Gera o de Chave para um novo par de chaves para a AC Durante tal cerim nia a Entidade Superior dever assinar e emitir um novo Certificado AC Esta Cerim nia de Gera o de Chave dever atender aos requisitos do Guia de Refer ncias da Cerim nia de Chave o Guia de Requisitos de Seguran a e Auditoria e o 6 1 da PC Os novos Certificados da AC contendo as chaves p blicas geradas durante a Cerim nia de Gera o de Chave dever o ser dispostos a Parte Confiante conforme o 6 1 4 da PC 4 8 Comprometimento e recupera o de desastre Classe 1 3 As c pias de seguran a das seguintes informa es de AC dever o ser armazenadas fora do local e disponibilizadas em caso de um Comprometimento ou desastre os dados de Solicita o de Certificado dados de auditoria conforme 4 5 da
179. nnnnnnnnnnunnnnnnnnununnnnnennunnnunennnennnnnnnnennn nnnm nanne annann nn 41 4 1 1 Solicita es para Certificados de Assinante sssssssnnusnnnenenununununnennnunununnnnnnnnunnnunununnnnnnnnnnnn nnmnnn 41 4 1 2 Solicita o de Certificados de ACs e ARS sssnssnsnnnnnunununnnunnnnenenunununnennnnnununnnnnnnunnnnnnunununn ennnen nnmnnn 42 4 2 Emiss o de Certificado Classe 1 3 sssssnsunsnunnnnnnnnunnnunnnnnunnnnnunnnnnnnnnnnnnnnnnnunnnnnnnnn nnmnnn nunnan mennan nnmnnn nannan nanna 42 4 2 1 Emiss o de Certificados de Assinantes s nsnsnusununnnunnnnenenenunununnennnunununnnnnnnnnnnnunununnen nnmnnn nnmnnn 42 4 2 2 Emiss o de Certificados de ACs e ARS ssusununnennnnnununnnnnunnnnenenunununnennnnnununnnnnnnnnnnnnnunununn ennnen nnmnnn 42 4 3 Aceita o de Certificado Classe 1 3 susssussnunsnunnnununnnunnnnnnnnununnnnnnunununnnnnnnnnnnnunununnnnnnnnnn anunn nnnm nnana nnen nn 43 4 4 Suspens o e Revoga o de Certificado Classe 1 3 ssnsnnnsnunununnnunnunenennnununnennnnnunununnnnnnnnnnnnnnunnnn enemmn na 43 4 4 1 Circunst ncias para revoga o ssisisississiaiieisisasidsr nananana dapas se aeania n sidani a piA nat NAS Eanan SER u barada aaar 43 4 4 1 1 Circunst ncias para Revoga o de Certificados e Assinantes ssssussunenennnununnenennnnns 43 4 4 1 2 Circunst ncias para revoga o de certificados de ACs e ARS nn 44 4 4 2 Quem pode solicitar a revoga o s
180. nnunennunnnunennnennnnnnnnnnnnnnnna 45 4 4 10 Requisitos para verifica o de LCR nsnssssusununnennnunununnnnnnnnunununununnnnennnunununnnnnnnn nnen nnununnnn nnmnnn nnmnnn 45 4 4 11 Disponibilidade para revoga o ou verifica o de status on line sssnnsunsnnnenununsenennnunnnnnnnne 46 4 4 12 Requisitos para verifica o de revoga o on line sunnsnsnssusununnennnunununnnnnnnnnnnnenunununnennnnnnnnnnnnn 46 4 4 13 Outras formas dispon veis para divulga o de revoga o sssssnnnnnununinnnnnnnnenenunununnnnnnnnnnnnnnnn 46 4 4 14 Requisitos para verifica o de outras formas de divulga o de revoga o 46 4 4 15 Requisitos especiais para o caso de comprometimento da chave ss 46 4 5 Procedimentos de auditoria de seguran a s ssssusususenenunsnunnnunenununnnuunununununnnnununununununnunnnunununnnnnnnnennn ennnen nn 46 4 5 1 Tipos de eventos registrados nn ireeeraceseeacesoeserammenesenanasasoracnsaraceeanamacramaaara 46 4 5 1 1 Eventos Registrados por Centros de Processamento n seres 46 4 5 1 2 Eventos registrados por Centros de Servi o Clientes de PKI Gerenciada Classa 1 3 asausiaasisaaasssosfisiieisaaicasaadass es aandaa riada ainiaan aniisi aadi an nagado 47 4 5 1 3 Eventos registrados por Clientes Gateway Classe 1 sssssssnsnsnsnnnnunnnunnnnnnnnnnnnnnnnnnnn 47 4 5 2 Frequ ncia de auditoria de registros Cl
181. nome de uma organiza o por meio da criptografia de confidencialidade assinaturas digitais para autentica o e controle de acesso baseado na Web Solicita es exigindo um alto n vel de de seguran a em compara o com as outras Classes como obter acesso a uma extranet B2B ou realizar transa o de alto valor em uma transa o B2B Automa o de servidor criptografia de confidencialidade e na comunica o com outros servidores capacitados autentica o de cliente Secure Server ID e Global Server ID As especifica es para Classes de Certificados nesta PC definem o n vel m nimo de seguran a fornecido para cada Classe Por exemplo qualquer Certificado de Classe 1 pode ser usado para assinaturas digitais criptogra fia controle de acesso onde a comprova o de identidade n o necess ria isto para aplica es que exigem baixos n veis de seguran a Entretanto por contrato ou dentro de ambientes espec ficos tais como ambiente inter empresarial os participantes da rede VTN podem usar procedimentos de valida o mais consistentes que aqueles fornecidos nesta PC ou utilizar Certificados para aplica es mais seguras que aquelas descritas nos 88 1 1 1 1 3 4 1 da PC Tal utiliza o estar limitada a tais entidades e sujeitas aos par grafos 2 2 1 2 2 2 2 2 da PC e estas entidades responsabilizar se o por qualquer dano ou preju zo causado pela m utiliza o 1 1 2 A rede VTN oferec
182. nsulte o Plano de Prote o NetSure para mais detalhes em http www verisign com repository netsure 2 2 1 4 For a Maior Na medida da legisla o aplic vel os Contratos de Assinante e Parte Confiante dever o incluir uma cl usula de for a maior protegendo a VeriSign e Afiliada aplic vel 2 2 2 Responsabilidade da Autoridade de Registro Garantias termos de exonera o de garantia e limites de responsabilidade entre uma AR e a AC a quem ajuda na emiss o de Certificados ou o Centro de Servi os Universal ou Revendedor aplic vel s o definidos e regidos pelos contratos existente entre as partes A VeriSign Afiliadas e Provedores ASB dever o utilizar os Contratos de Assinante e Contratos de Parte Confiante conforme os par grafos 2 1 1 2 1 2 da PC que possuem suas pr prias garantias termos de exonera o e limites O par grafo 2 2 2 desta PC relata apenas as garantias termos de exonera o de garantia e limita es de responsabilidade que as ARs de Centros de Servi o do Servidor e Provedor ASB aplicar se o aos Assinantes cujas Solicita es de Certificados aprovadas e Parte Confiante que confiam em Certificados resultantes da aplica o de certificado por elas aprovadas Clientes de PKI Gerenciada Lite PKI Gerenciada para Clientes SSL e Clientes SSL Premium Edition n o utilizam Contratos de Assinante ou Parte Confiante Portanto as exig ncias desta se o n o se aplicam a eles Em vez dis so aplica se o Contrat
183. nte indenizem a VeriSign e qualquer AC ou AR n o sejam da VeriSign a t tulo de e A falha por parte da Terceira parte em executar as suas obriga es previstas por contrato e A confian a de Parte Confiante em um Certificado que n o est razo vel dentro das circunst ncias ou e A falha por parte de Parte Confiante em verificar o estado de dado Certificado para determinar sua expira o ou revoga o o ERTI imprensaoficial 12 VTN_PC_1 indd 27 D 12 21 04 3 47 23 PM E O EEE O 2 3 3 Rela es Fiduci rias No que se refere legisla o aplic vel os Contratos de Assinante e Parte Confiante dever o abrir m o de qual quer rela o fiduci ria entre a VeriSign e uma AC ou AR n o que seja d VeriSign por um lado e um Assinante ou Parte Confiante por outro 2 3 4 Processos Administrativos A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway dever o dispor de recursos financeiros su ficientes para manter suas opera es e executar suas tarefas e dever o ser razoavelmente capazes de assumir o risco da responsabilidade de Assinantes e Parte Confiante A VeriSign Afiliadas Clientes de PKI Gerenciada e Clientes Gateway tamb m devem manter um n vel comercialmente razo vel de cobertura de seguro por erros e omiss es seja atrav s de um programa de seguro contra erros e omiss es com uma corretora de seguros ou reten o assegurada Este requisito de seguro n o se aplica a entidades governamentais
184. ntica o da identidade da entidade que empregador ou mantenedora do administrador conforme rege o par grafo 3 1 8 2 desta PC Tal entidade dever ser um Centro de Processamento Centro de Servi o ou Cliente de PKI Gerenciada A VeriSign e Afiliadas tamb m dever o no curso do processo de autentica o confirmar a autoriza o do Solicitante de Certificado para agir como Administrador A VeriSign e Afiliada tamb m ter o a oportunidade de aprovar Solicita es de Certificado para seus pr prios Administradores Administradores s o Pessoas Confi veis dentro de uma organiza o veja a PC 8 5 2 1 Nesse caso a autentica o de Solicita es de Certificado ser com base na confirma o das identidades em rela o a seu emprego ou reten o como contratado aut nomo veja PC 5 2 3 e procedimentos secund rios de verifica o veja PC 5 3 2 VeriSign e Afiliada podem aprovar Certificados de Administrador associados a um destinat rio que n o seja pessoa como um dispositivo ou servidor A Autentica o de Solicita es de Certificado de Administrador Classe 3 para destinat rios n o numanos dever o incluir e Autentica o de exist ncia e identidade do servi o nomeado como o Administrador na Solicita o de Certificado e Autentica o de que o servi o foi implementado de forma consistente com a realiza o das fun es administrativas Confirma o de emprego e autorizada da pessoa se inscreven
185. nununennnnnnnnununenunennnnununenunennnnnnn 73 8 1 3 Altera es que exigem mudan as adicionais nos OIDs da pol tica de certificado ou Indicadorda PC ansisicaisisaaisicassenitateasisidosidarradyaliia feia dia deaifiada dar ri da sd aranira Esanda iiaii rannin 73 8 2 Pol ticas de Publica o e Notifica o n ni ceeeressrenaaeenammanaceeraceamacrsmaansanenanaanaaa 73 8 2 1 Itens n o publicados na PC nn aeaaea daai anasan raaa a anairde aandaa inaasa EnS 73 8 2 2 Distribui o da PC Ji isisasicasaissisadsaisssicasvssindadtansduaiocadadds angra ia aan aa aa Eaa aa A Aaa aaea Aaaa Anine SaNa 74 8 3 Procedimentos de Aprova o da DPC sssessnsusnsenenenunnnnunununununnnnunununenunennununununununnunnnununenunnnnnnnnnnen nnen nnnn nan 74 12 VTN_PC_1 indd_1X D 12 21 04 3 47 07 PM 12 VTN PC 1 indd X 12 21 04 3 47 08 PM E JERHE O EEE O 1 INTRODU O Observa o os termos capitalizados nesta Pol tica de Certificado s o termos definidos com denota es espec ficas Consulte a Se o 9 para uma lista das defini es VeriSign Inc VeriSign l der no fornecimento de servi os de infra estrutura confi vel para sites da web empresas pro vedores de servi os de com rcio eletr nico e indiv duos O nome de dom nio certificado digital e servi os de pagamento de uma empresa oferecem uma infra estrutura web de identifica o autentica o e transa o essencial para o com
186. o e Eventos relacionados administra o do ciclo de vida do Certificado por exemplo aprova o ou reprova o de solicita es de certificado e e no caso de Clientes de PKI Gerenciada usando o Gerenciador de Chave para PKI Gerenciada a c pia de seguran a backup e recupera o das chaves privadas do Assinante 4 5 1 3 Eventos registrados por Clientes Gateway Classe 1 Os Clientes Gateway dever o registrar em arquivos de registro de auditoria os eventos relacionados seguran a do sistema da AC tais como e Tentativas de cria o remo o gera o de senhas ou altera o nos privil gios de sistema de usu rios privilegiados fun es de confian a e Altera es nos detalhes e ou chaves da AC 47 imprensaoficial D 12 21 04 3 47 34 PM E TEEN O EPE l e Tentativas n o autorizadas no acesso de rede ao sistema da AC e Tentativas n o autorizadas de acesso a arquivos de sistema e Gera o de chaves de AC e Cria o e revoga o de certificados e Eventos relacionados administra o do ciclo de vida do Certificado por exemplo solicita es emiss es revoga es e renova es de Certificados e e Eventos relacionados administra o do ciclo de vida do m dulo criptogr fico por exemplo recibo uso desinstala o e remo o onde houver um m dulo criptogr fico em uso 4 5 2 Frequ ncia de auditoria de registros Classe 1 3 Os Centros de Processamento Centros de Se
187. o va o de Solicita es de Certificado solicita o de revoga o de Certificados e aprova o ou reprova o das solicita es de renova o As ARs das VTNs dividem se em cinco categorias 1 Centros de Servi o de Servidor 2 PKI Gerenciada 3 Clientes de PKI Gerenciada Lite 4 PKI Gerenciada para Clientes SSL 5 PKI Geren ciada para Clientes SSL Premium Edition e 6 Provedores ASB Outros tipos de Ars s o permitidos atrav s de autoriza o por escrito da VeriSign e se estas ARs atendem s obriga es definidas para Clientes de PKI Gerenciada sujeitos a modifica es necess rias por conta das diferen as entre a tecnologia de PKI Gerencia da e a tecnologia usada pelas ARs e os termos de um contrato adequado Os Centros de Servi o de Servidor atuam como Centros de Servi o que aprovam Solicita es de Certificado para Certificados de servidor IDs de Servidor Seguro e Servidor Global Eles agem como um AR que auxilia a AC da VeriSign na emiss o destes Certificados Estas ACs da VeriSign incluem a AC de Servidor Seguro RSA que emite IDs de Servidor Seguro e a AC de Criptografia Concentrada Universal que emite IDs de Servidor Global Os Clientes de PKI Gerenciada Lite se tornam ARs que prestam auxiliam a uma AC da VeriSign ou Afiliada para a emiss o de Certificados clientes para Assinantes De forma similar a PKI Gerenciada para Clientes SSL e Clientes SSL Premium Edition se tornam ARs usando a PKI Gerenciada que auxilia
188. o Assinante Quando desativadas as chaves privadas dever o ser mantidas apenas em formul rio codifica do 6 2 7 1 3 Outros Certificados de Classe 3 exceto Certificados do Administrador O Padr o VTN para a prote o de chave privada Classe 3 exceto Administradores voltado aos Assinantes para o ERTI oz imprensaoficial 12 VTN_PC_1 indd 62 D 12 21 04 3 47 43 PM E TEEN O EEE O Uso de um cart o inteligente dispositivo de acesso biom trico senha em conjunto ao Servi o Roaming VeriSign ou n vel de seguran a equivalente para autenticar o Assinante antes da ati va o da chave Tomada de medidas comercialmente dispon veis para a prote o f sica de sua esta o de traba lho de forma a evitar o uso da mesma e de sua chave privada associada sem a autoriza o do Assinante Recomenda se usar uma senha junto com um dispositivo de acesso biom trico em conformida de com o 6 4 1 1 da PC Quando desativadas as chaves privadas dever o ser mantidas apenas em formul rio codificado 6 2 7 2 Chaves Privadas de Administradores Classe 3 6 2 7 2 1 Administradores Os Padr es VTN para a prote o de chave privada de Administrador exigem que eles o uso de um cart o inteligente dispositivo de acesso biom trico senha conforme o 6 4 1 1 da PC ou prote o adequada para autenticar o Administrador antes da ativa o da chave privada que inclui por exemplo uma senha para operar a chave privada uma s
189. o Assinante somente quando e Suas Solicita es de Certificado foram aprovadas por um Cliente de PKI Gerenciada usando um Administra dor de Chave de PKI Gerenciada e Eles s o Assinantes Roaming cujas chaves privadas s o enviadas aos terminais clientes que estes assinantes usam e decriptografas para uso em uma nica sess o conforme descrito no 1 1 2 3 3 da PC ou e Seus pares de chave s o pr gerados em dispositivos de controle de acesso por hardware tokens que s o distribu dos aos Solicitantes de Certificado relacionados ao processo de inscri o Os Clientes de PKI Gerenciada usando o Administrador de Chave de PKI Gerenciada ou um servi o equivalente fornecido pela VeriSign dever o usar o Software do Administrador de Chave de PKI Gerenciada ou software equivalente aprovado pela VeriSign e Sistemas Confi veis para fornecer chaves privadas aos Assinantes e ga rantir que a entrega feita por meio de um pacote PKCS amp 12 ou qualquer outro meio compar vel por exemplo criptografia para evitar a perda divulga o modifica o ou uso n o autorizado de tais chaves privadas Onde pares de chave s o pr gerados em dispositivos de controle de acesso por hardware as entidades dis tribuidoras de tais dispositivos dever o tomar as provid ncias necess rias para fornecer seguran a e prote o f sica dos dispositivos evitando perda divulga o modifica o ou uso n o autorizado de chaves privadas nos dispositivos
190. o Servi o de Cart rio Digital VeriSign AC da Autoridade de A AC VeriSign que emitiu um certificado corporativo especial classe 3 Data o para a Autoridade de Data o usando na verifica o das assinaturas digitais em Recibos Digitais Pessoa Qualificada Um funcion rio contratado ou consultor de uma entidade dentro da VTN respons vel pelo gerenciamento da confian a infra estrutural da entidade seus produtos servi os instala es pr ticas conforme disposto na PC 5 2 1 Posi o Qualificada As posi es dentro de uma entidade da VTN que devem ser ocupadas por uma Pessoa Qualificada Sistema Confi vel Hardware e software de computador e procedimentos que s o razoavelmente protegidos contra invas es e abuso fornecem um n vel razo vel de disponibilidade confiabilidade e opera o correta s o adequados para executar as fun es planejadas e refor ar a pol tica de seguran a aplic vel Um sistema confi vel n o necessariamente um sistema qualificado conforme reconhece a nomenclatura governamental classificada Centro de Servi os Uma entidade participante do Programa do Centro de Servi os Universal Universal Programa do Centro de Um programa onde as entidades comercializam servi os da VeriSign em mercados Servi os espec ficos usando uma plataforma de software especializada para gerenciar a complexa Universal implanta o multin vel de PKI o ERTI x imprensaoficial 12VTN PC tindd 81 D 12 21
191. o de Assinante da Entidade Superior do Cliente de PKI Gerenciada Lite PKI Gerenciada para Cliente SSL e PKI Gerenciada para Cliente SSL Premium Edition i e Clientes de PKI Gerenciada da VeriSign Os Centros de Servi o de Servidor e Provedores ASB em nome de suas ACs de Cliente ASB dever o incluir nos Contratos de Assinantes e Parte Confiante as garantias termos de exonera o de garantia limita es de res ponsabilidade e cl usulas de for a maior determinadas nos par grafos 2 2 1 1 a 2 2 1 4 desta PC 2 2 3 Responsabilidade do Titular 2 2 3 1 Garantias do Titular Os Contratos de Assinante dever o incluir uma garantia aos Assinantes que e Cada assinatura digital criada usando a chave privada correspondente chave p blica listada no Certificado a assinatura digital do Assinante e o Certificado foi aceito e est em funcionamento n o expirou nem foi revogado no momento de cria o da assinatura digital e Nenhuma pessoa n o autorizada teve acesso chave privada do Assinante e Todas as representa es feitas pelo Assinante na solicita o de certificado e por ele enviadas s o verdadeiras o ERTI er imprensaoficial 12 VTN PC 1 indd 26 D 12 21 04 3 47 23 PM E TEEN O mo mano e Todas as informa es fornecidas pelo Assinantes e contidas no Certificado s o verdadeiras e O Certificado est sendo usado exclusivamente para fins autorizados e legais consistentes com a DPC aplic vel e e O assi
192. o dever o cobrar tarifas pelo acesso a sua PC ou respectivas DPCs Qualquer uso feito para fins que n o de simples visualiza o do documento tais como reprodu o redistribui o modifica o ou cria o de obras derivadas estar o sujeitos a um contrato de licen a com a entidade detentora dos direitos autorais do documento 2 5 5 Pol tica de Reembolso Dentro dos limites da legisla o aplic vel a VeriSign Afiliadas Centros de Servi o Universal e Revendedores utilizando Contratos de Assinante dever o implementar uma pol tica de reembolso em conformidade com o Guia de Pr ticas de Requisitos Legais da Afiliada no caso da VeriSign e Afiliadas ou os requisitos da VeriSign ou Afiliada em caso de Centros de Servi o Universal e Revendedores Eles dever o definir suas pol ticas de reembolso em seus respectivos web sites incluindo uma lista de seus reposit rios nos Contratos de Assinante e no caso de da VeriSign e Afiliadas em suas DPCs 2 6 Publica o e Reposit rio Classe 1 3 2 6 1 Publica o das Informa es das ACs 2 6 1 1 Publica o pela VeriSign e Afiliadas A VeriSign e Afiliadas dever o se responsabilizar pelas fun es de reposit rio Os Centros de Proces samento como parte de seus contratos com os Centros de Servi o dever o publicar os Certificados no reposit rio do Centro de Servi os baseados nas Solicita es de Certificado aprovadas pelos Centros de Servi o e seus Clientes de PKI Geren
193. o dom nio p blico regido por esta PC que por sua vez o documento que rege a VTN 1 3 1 Autoridades Certificadoras O termo Autoridade Certificadora um termo guarda chuva que se refere a todas as entidades que emitem certificados dentro da VTN O termo AC composto por uma subcategoria de emissores chamados Autorida des Prim rias de Certifica o As APCs s o as ra zes de tr s dom nios um para cada classe de Certificado Cada APC uma entidade VeriSign Subordinadas s APCs est o as Autoridades Certificadoras que emitem Certi ficados a Assinantes usu rio final ou outras ACs As ACs tamb m possuem cinco categorias 1 Centros de Processamento 2 Centros de Atendimento ao Cliente 3 Clientes de PKI Gerenciada 4 Clientes Gateway e 5 Clientes ASB Os centros de processamento nas linhas de neg cios voltada ao Consumidor e Web Site s o as ACs que reali zam as fun es prim rias e secund rias de AR a menos que as fun es prim rias sejam delegadas a uma AR Os Centros de processamento na linha de neg cios Corporativa s o terceirizadores das fun es de CA para Clientes de PKI Gerenciada As fun es prim rias da AR consistem em estabelecer procedimentos de regis tro confirma o de identidade aprova o ou reprova o de Solicita es de Certificado iniciar revoga es e aprovar ou reprovar solicita es de renova o de certificados As fun es secund rias incluem a emiss o gerenciamento revo
194. o implementado na VTN Acesse http Awww verisign com para informa es educacionais e treinamento Os representantes de atendimento ao cliente da VeriSign oferecem assist ncia adicional customer serviceOverisign com E finalmente a seguir um breve resumo dos pap is dos diferentes participantes da rede VTN No cora o da VTN existe uma hierarquia de entidades chamadas Autoridades Certificadoras ou ACs As ACs s o Parte Confiante de confian a que facilitam a confirma o da liga o entre uma chave p blica e uma identidade e ou outros atributos de um indiv duo organiza o ou dispositivo que o Titular do Certificado Titulares de Certificados s o o mesmo que Assinantes exceto no caso de dispositivos onde o Assinante o propriet rio do dispositivo e que possui um certificado ad ERTISIGN j imprensaoficial 12 VTN_PC_1 indd 3 D 12 21 04 3 47 09 PM E JREEHE O EEE O AC um termo guarda chuva que se refere s autoridades emissoras de certificados a Assinantes ou outras ACs de hierarquia superior Uma subcategoria de AC a Autoridade Prim ria de Certifica o APC As APCs atuam como ra zes na VTN uma APC corresponde a cada Classe de Certificado Uma AC pode ser uma AC VeriSign o que significa que ela pertence e operada pela VeriSign Por exemplo todas as APCs s o ACs Verisign Outras ACs que n o s o entidades da VeriSign tais como ACs de Afiliadas ou de determinados Clientes As
195. o pela AC Solicita o de Certificado Uma solicita o feita pelo Solicitante ao Certificado ou agente autorizado do Solicitante para uma AC requisitando a emiss o de um Certificado Cadeia de certificado Uma lista ordenada de Certificados contendo o Certificado do Assinante e Certificados da AC que terminam em um Certificado raiz Objetivos de Controle Os crit rios aos quais uma entidade deve atender para satisfazer uma Auditoria de de Gerenciamento Conformidade Pol ticas de Certificados Este documento intitulado Pol ticas de Certificado da Rede de Confian a da VeriSign a PC principal declara o de pol tica que rege a VTN Lista de Certificados Uma lista emitida periodicamente digitalmente assinada por uma AC contendo os Certificados Revogados identificados como revogados antes da data de vencimento conforme a PC 3 4 Em geral a LCR lista o nome do emissor da LCR a data de emiss o data prevista para a pr xima edi o da LCR os n meros de s rie dos e os hor rios espec ficos e motivos para a revoga o o ERTI a imprensaoficial 12 VTN PC 1 indd 75 D 12 21 04 3 47 50 PM ET j ji O EEE O Solicita o de Assinatura Uma mensagem informando que uma solicita o para Certificado foi emitida de Certificado Autoridade Certificadora Uma entidade autorizada a emitir gerenciar revogar e renovar Certificados na VTN AC Declara o de Pr ticas de Uma declara o das pr ticas q
196. o pela obri ga o de iniciar a revoga o de Certificados permitido pela AC do Cliente ASB conforme dita o par grafo 4 4 1 1 da PC Uma AC da VTN tecnicamente fora das tr s hierarquias sob as quais cada uma das APCs a Autoridade de Certi fica o de Servidor Seguro RSA obtida pela VeriSign com a RSA Security Inc A AC de Servidor Seguro RSA n o possui uma AC superior como uma raiz ou uma APC Em vez disso ela atua como sua pr pria raiz emitindo seu pr prio Certificado raiz com auto assinatura Ela tamb m emite Certificados a Assinantes Assim a hierarquia de servidor seguro RSA consiste apenas na AC de Servidor Seguro RSA A AC de Servidor Seguro RSA emite IDs de servidor seguro que s o avaliadas como Certificados corporativos de classe 3 Embora A CA de Servidor Seguro RSA n o seja certificada sob o APC de Classe 3 os certificados emitidos s o funcionalmente equivalentes aos certificados emitidos por uma AC de classe 3 A AC de Servidor utiliza pr ticas de ciclo de vida de outras ACs de classe 3 dentro da VTN Assim a VeriSign aprovou e determinou a Autoridade Certificadora de Servidor Seguro RSA como uma AC de Classe 3 dentro da VTN Os Certificados que emite as IDs de Servidor Seguro s o consideradas provas de confian a compar veis a outros Certificados corporativos de Classe 3 1 3 2 Autoridades de Registro As ARs auxiliam a AC realizando as fun es secund rias de confirma o de identidade aprova o ou repr
197. ografada e os componentes da chave sim trica necess rios para decodificar a chave privada do Assinante s o baixados no terminal cliente No terminal cliente a chave sim trica reconstitu da a chave privada do As sinante decodificada e ent o fica dispon vel para uso durante uma nica sess o Terminada a sess o a chave privada no terminal cliente exclu da de forma irrecuper vel 1 2 Identifica o A VeriSign na posi o de autoridade determinadora das pol ticas determina a pol tica de certificado nesta PC para cada Classe de Certificado uma extens o de valor OID object identifier definida nesta se o Os valores de OID usa dos para as tr s classes de Certificados do usu rio final s o A Pol tica de Certificado Classe 1 VeriSign pki policies vtn cp class1 2 16 840 1 113733 1 7 23 1 A Pol tica de Certificado Classe 2 VeriSign pki policies vtn cp class2 2 16 840 1 113733 1 7 23 1 A Pol tica de Certificado Classe 3 VeriSign pki policies vtn cp class3 2 16 840 1 113733 1 7 23 1 Estes OIDs de Certificados de Assinantes correspondem Classe apropriada 1 3 Comunidade e Aplicabilidade A comunidade regida por esta PC a Rede de Confian a VeriSign VTN VeriSign Trusted Network A Rede de Con fian a da VeriSign VTN uma PKI que acomoda uma grande comunidade p blica de usu rios com as mais varia das necessidades em comunica o e seguran a da informa o A VTN
198. olici ta o de Certificado Quando um Centro de Servi os Cliente de PKI Gerenciada ou Provedor ASB aprova uma Solicita o de Certificado e comunica essa aprova o ao Centro de Processamento o Centro de Processamento dever criar um Certificado e emiti lo ao Solicitante de Certificado Os procedimentos desta se o tamb m dever o ser utilizados para a emiss o de Certificados em rela o ao envio de uma solicita o de renova o do Certificado 4 2 2 Emiss o de Certificados de ACs e ARs A identidade das entidades que desejam se tornar Afiliadas e Clientes dever ser autenticada conforme o disposto no 3 1 8 2 da PC e no caso de aprova o ser o emitidos os Certificados necess rios para a execu o de suas fun es de AC ou AR Antes de celebrar um contrato com uma entidade candidata Afiliada ou Cliente conforme o 4 1 2 a identidade da Afiliada ou Cliente potencial dever ser confirmada com base nas credenciais apresentadas A execu o de tal contrato indica a conclus o e aprova o final da solicita o pela Entidade Superior A decis o de aprova o ou reprova o de uma solicita o de Afilia o ou Cliente dever ser feita conforme crit rio exclusivo da Entidade Superior ou seu Centro de Servi os Universal ou Revendedor Ap s tal aprova o a pr pria Entidade Superior no caso de um Centro de Processamento ou o Centro de o ERTI Es imprensaoficial 12 VTN PC tindd 42 D 12 21 04 3 47 32 PM
199. onal de Com rcio ICC conforme as Regras ICC de Concilia o e Arbitragem o ERTI A imprensaoficial 12 VTN_PC_1 indd 28 D 12 21 04 3 47 24 PM ET j ji O EEE O 2 5 Tarifas Classe 1 3 2 5 1 Tarifas de Emiss o e Renova o de Certificado A VeriSign Afiliadas e Clientes est o intitulados a cobrar Assinantes pela emiss o administra o e renova o de Certificados 2 5 2 Tarifas de Acesso ao Certificado A VeriSign Afiliadas e Clientes n o dever o cobrar taxas como condi o para tornar um Certificado dispon vel em um reposit rio ou torn lo dispon vel Parte Confiante 2 5 3 Tarifas de Revoga o ou de Acesso Informa o de Status VeriSign e Afiliadas n o dever o cobrar taxas como condi o para execu o de LCRs exigidas conforme o par grafo 4 4 9 da PC dispon vel em um reposit rio ou Parte Confiante Entretanto poder o cobrar taxas para forne cer LCRs personalizadas servi os de OCSP e outros servi os de revoga o avan ados e servi os de informa o de estado A VeriSign e Afiliadas n o dever o permitir o acesso informa es de revoga o informa es de estado de Certificado ou selo cronol gico em seus reposit rios a Parte Confiante que ofere am produtos ou servi os que utilizam informa es de estado de certificado sem a pr via autoriza o por escrito da VeriSign 2 5 4 Tarifas para Outros Servi os como Informa o de Pol tica A VeriSign e Afiliadas n
200. or motivos legais ssusensuensusenunenunennununununenunnunununununnnnnnunununenunnnnunenunenunennnnnnn 33 2 8 5 Quebra de sigilo como parte de descoberta p blica nn ereeeererneraos 33 2 8 6 Divulga o por solicita o do Titular do Certificado nn rereareraana 33 2 8 7 Outras circunst ncias de divulga o de informa es nn eeeererenearentanos 34 12VTN PC finda IV D 12 21 04 3 47 01 PM E JREEHE O EEE O 2 9 Direitos de Propriedade Intelectual Classe 1 3 ssssssssssnsenneunnnnnenunennunnnununnnnnnnnnnnnunnnunnnnunnnnnnnnnnnnnnnnnn nenna 34 2 9 1 Direitos de propriedade sob as informa es de certificados e revoga es 34 2 9 2 Direitos de propriedade na PC nn inasnan nanaman Endam anann onanan Ennan e nanana unnan E nnana 34 2 9 3 Direitos de propriedade sobre nomes s ssussnsuunsusunununununnununununununnunnnununununnnnunununununennnnunnnen anenun 34 2 9 4 Direitos de propriedade sobre chaves e materiais de chaves nssunsusnnnunennunnnnnnnnnnnnnnennnnnnnnna 34 3 IDENTIFICA O E AUTENTICA O nn emeeereereneemeereeeeeeereemeerreemre rea rencente sen rare ee eeseereserseemeaseneenne 34 3 1 Registro Inicial esses iesassidiaieriacitasegacedieatiadaafiidedani s raaa raaraa aaraa inca anita ie de das es Ei ag 34 3 1 1 Tipos de nomes Classe 1 3 iaaisiscass iinan ananiona rannin aca des a da ca doa
201. oria Centros de Processamento dever o usar o Secret Sharing para dividir a chave privada ou os dados de ativa o necess rios para a opera o da chave privada em partes separadas chamadas Secret Shares mantidas por indiv duos intitulados Shareholders Um n mero limite de Secret Shares m de um n mero total de Secret Shares n ser necess rio para operar a chave privada Os Centros de Processamento dever o usar o Secret Sharing para proteger os dados de ativa o necess rios para ativar suas pr prias chaves privas e aquelas dos Centros de Servi o Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seus respectivos Subdom nios conforme o Guia de Refer ncia da Cerim nia da Chave e o Guia de Requisitos de Seguran a e Auditoria Os Centros de Processamento tamb m dever o usar o Secret Sharing para proteger os dados de ativa o necess rios para ativar as chaves privadas localizadas em seus respectivos locais de recupera o de desastre Os Centros de Processamento dever o implementar o Secret Sharing o ERTI L imprensaoficial 12 VTN_PC_1 indd 60 D 12 21 04 3 47 41 PM ET j ji O mo mano O n mero limite de cotas necess rias para assinar um certificado de AC 3 Deve se observar que o n mero de cotas distribu das para os tokens de recupera o de desastre pode ser inferiores ao n mero distribu do de tokens operacionais enquanto o n mero limite das cotas necess rias permanece o mesmo As
202. os a seus Clientes de PKI Gerenciada e administram as implementa es das PKIs desses Clientes usando a plataforma de software do Programa Universal de Centro de Servi os Os Revendedores e Centros de Servi o Universais de vem cumprir com as exig ncias impostas pela VeriSign e Afiliadas atrav s de suas PCs contratos secund rios e outros documentos como refer ncia o ERTI N imprensaoficial 12 VTN_PC_1 indd 11 amp 12 21 04 3 47 14 PM E TEEN O EEE O Os Centros de Servi o Universal n o se tornam automaticamente Autoridades Certificadoras Em vez disso seus Clientes de PKI Gerenciada se tornam AGs e dever do Centro de Servi os Universal obter Clientes firmar com eles os contratos apropriados e fornecer suporte ao cliente 1 1 2 1 4 O programa Web Host O Programa Web Host permite que empresas atuem como host Web Host de sites de clien tes para gerenciar os processos de ciclo de vida das IDs de Servidor Seguro de varejo e IDs de Servidor Global para seus clientes Um Web Host pode ser um provedor de servi os da Internet um integrador de sistemas um Revendedor um consultor t cnico um provedor de servi os de aplicativo ou similar O Programa Web Host oferece a funcionalidade de gerenciamento de pe dido feita conforme as necessidades da organiza o do Web para um gerenciamento de ciclo de vida simplificado O Programa WebHost permite que Web Hosts inscrevam se para IDs de Servidor Seguro e IDs de Servido
203. p blicas contidas no Certificado e Se um assinante for incapaz de completar o procedimento de reautentica o a AC dever revogar imedia tamente o Certificado do Assinante Dados de Ativa o 6 4 1 Gera o e instala o dos dados de Ativa o Os participantes da VTN que geram e instalam dados de ativa o para suas chaves privadas dever o usar m todos que protegem os dados de ativa o na medida necess ria para evitar a perda roubo modifica o divulga o e uso n o autorizado de tais chaves p blicas 6 4 1 1 Assinantes Classe 1 3 Considerando que senhas s o usadas como dados de ativa o veja PC 6 2 7 1 os Assinantes deve r o gerar senhas que n o sejam facilmente desvendadas A VeriSign e Afiliadas dever o informar os Assinantes seu Subdom nio quanto aos m todos para a escolha de senhas seguras Os Assinantes de Classe 3 n o precisar o gerar os dados de ativa o por exemplo caso utilizem dispositivos de acesso biom trico 6 4 1 2 Administradores Classe 3 Os dados de ativa o usados pelos Administradores dever o atender aos requisitos da PC 6 4 1 1 6 4 1 3 Clientes Gateway Classe 1 Os Clientes Gateway dever o gerar seus dados de ativa o conforme o par grafo 6 2 7 3 da PC Os Clientes Gateway dever o usar senhas como dados de ativa o que n o sejam facilmente desvendadas ou exploradas por ataques de dicion rios 6 4 1 4 Centros de Processamento Classe 1 3 O
204. para Certificados ASB Corporativos Classe 3 A confirma o da identidade de um Solicitante de Certificado para um Certificado ASB Corpo rativo de Classe 3 dever incluir e A determina o de que a organiza o existe usando pelo menos um servi o ou banco de da dos de comprova o de identidade de Parte Confiante ou documenta o da empresa emitida ou arquivada com o rg o governamental aplic vel que comprove a exist ncia da empresa e Uma confirma o telef nica carta postal confirmat ria ou procedimento compar vel para que o Solicitante de Certificado confirme certas informa es sobre a organiza o confirme que a organiza o autorizou a Solicita o de Certificado e confirme que o representante submetendo a solicita o de certificado em nome do Solicitante de Certificado est autorizada a faz lo e e Uma confirma o telef nica carta postal confirmat ria e ou procedimento compar vel para que o representante do Solicitante de Certificado possa confirmar que a pessoa nomeada como representante enviou a Solicita o de Certificado 3 1 8 2 Autentica o da Identidade de ACs e ARs Classe 1 3 Afiliadas Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB antes de se tornarem ACs ou ARs celebram um contrato com uma entidade acima dentro da hierarquia VTn de Classe 1 2 ou 3 a Entidade Superior ou um Centro de Servi os Universal ou Revendedor comercializando em nome da VeriSign ou uma Afiliada
205. pela VeriSign ou Afiliada aplic vel Os contratos de Assinante e Parte Confiante utilizados pela VeriSign Afiliadas Centros de Servi o Universal e Revendedores devem incluir as disposi es apresentadas nos par grafos 2 2 2 4 desta PC Clientes de PKI Gerenciada e Clientes Gateway t m permiss o para usar os Contratos de Assinante que lhes s o espec ficos embora n o seja necess rio Os Clientes de PKI Gerenciada e Clientes Gateway utilizando Contratos de Assinante dever o incluir as disposi es previstas nos par grafos 2 2 2 4 desta PC Se um cliente de Cliente de PKI Gerenciada cliente Gateway ou revendedor n o utilizar seu pr prio Contrato de Assinante aplicar se o contrato de Assinante da VeriSign ou Afiliada aplic vel Se um revendedor n o possui um Contrato de Parte Confiante aplicar se o contrato de Parte Confiante da VeriSign ou Afiliada aplic vel 2 1 1 Obriga es da AR As ARs auxiliam um a AC Centro de Servi o ou Processamento realizando as fun es de valida o aprova o ou reprova o de Solicita es de Certificado solicita o de revoga o de Certificados e aprova o das o ERTI a imprensaoficial 12 VTN_PC_1 indd 22 D 12 21 04 3 47 20 PM E JRERHE O EEE O solicita es de renova o As disposi es quanto s obriga es espec ficas da PC de cada categoria de ARs Centros de Servi o de Servidor Clientes de PKI Gerenciada Lite PKI Gerenciada para Clientes SSL E SLL Premium Ed
206. por hardware e depois destru da Somente a chave de sess o resultante MSK masked session key enviada e arma zenada na VeriSign O KER contendo a chave privada do usu rio final e a m scara aleat ria da chave de sess o s o armazenados no banco de dados do gerenciador de chaves nas instala es da empresa A recupera o de uma chave privada e certificado digital requer que o administrador da PKI Gerenciada registre corretamente no Centro de Controle de PKI Gerenciada selecionando o par de chaves adequado para recuperar e clicar em um link de recupera o Somente depois que um administrador aprovado clicar no link recover recuperar a MSK do par de chaves devolvida do banco de dados de PKI Gerenciada O Administrador de Chave combina a MSK com uma m scara de chave de sess o aleat ria e gera novamente a chave DES tripla que foi originalmente usada para criptografar a chave privada permitindo a recupera o da chave pri vada do usu rio final E finalmente um arquivo criptografado PKCS 12 enviado de volta ao administrador e distribu do ao usu rio final Uma empresa usando o KMS deve pelo menos Notificar assinantes que suas chaves privadas foram escrituradas e Protege as chaves escrituradas dos assinantes contra a divulga o n o autorizada Proteger todos os dados incluindo a s chave s do pr prio administrador que podem ser utilizadas par recuperar chaves escrituradas de assinantes
207. pora o e notifica o Uma cl usula de individualidade em um contrato evita que qualquer determina o de invalidade ou inexigibilidade de uma cl usula no contrato pre judique o restante do contrato Uma cl usula de sobreviv ncia especifica as disposi es de um contrato que continuam em vigor ap s sua cess o ou expira o Uma cl usula de incorpora o determina que todos os en tendimentos referentes ao objeto do contrato est o nele incorporados Uma cl usula de notifica o determina que as partes devem notificar uma s outras 2 4 3 Procedimentos na Solu o de Disputas 2 4 3 1 Disputas entre a VeriSign Afiliadas e Clientes As disputas entre uma ou mais de qualquer entidade incluindo a VeriSign Afiliadas ou Clientes deve r o ser resolvidas conforme disposto nos contratos aplic veis entre as partes 2 4 3 2 Disputas com o Titular Usu rio Final ou Parte Confiante Na medida da legisla o aplic vel os Contratos de Assinantes e Parte Confiante dever o incluir cl u sulas de resolu o de disputas Os procedimentos dispostos no Guia de Pr ticas de Requisitos Legais da Afiliada para a resolu o de disputas envolvendo a VeriSign requerem um per odo inicial de ne gocia o de 60 sessenta dias seguido por litiga o em tribunal federal ou estadual do Condado de Santa Clara Calif rnia no caso de autores residentes nos EUA ou no caso de outros autores a arbitra o administrada pela C mara Internaci
208. que Determina a Adequabilidade do CPS para a Pol tica As pessoas que definem se o CPS de uma Afiliada adequado para esta PC s o os membros da PMA Veja o par grafo 1 4 2 desta PC 2 DISPOSI ES GERAIS 2 1 Obriga es Classes 1 3 2 1 1 Obriga es da AC As ACs devem cumprir com obriga es espec ficas detalhadas nesta PC As disposi es das obriga es espec ficas da PC de cada categoria de AC Centros de Processamento Centros de Atendimento ao Cliente Clientes de PKI Gerenciada Clientes Gateway e Clientes ASB Al m disso a VeriSign e Afiliadas far o uso de todos os meios comerciais dispon veis para assegurar que os Contratos de Assinante e Contratos de Parte Confiante vinculem Assinantes e Parte Confiante a seus respec tivos subdom nios Alguns exemplos de tais medidas incluem por m n o se limitam a solicitar concord ncia de um Contrato de Assinante com uma condi o para registro ou solicitar concord ncia em um Contrato com Parte Confiante como condi o para receber informa es de status do Certificado Os Contratos de Assinante e de Parte Confiante da VeriSign e Afiliadas devem atender aos requisitos do Guia de Requisitos Legais para Pr tica de Afiliadas Afilliate Practices Legal Requirements Guidebook De forma similar os Centros de Ser vi o Universal e Revendedoras onde necess rio por contato dever o utilizar os Contratos de Assinante e Parte Confiante conforme as exig ncias impostas
209. r Centros de Processamento Classe 1 3 63 6 2 8 M todo de desativa o de chave privada ssusssusenusenunennununununununnunnnununununnunnnununununnnnunennnen nnen nn 64 628 1 Assinantes ipa acoes rosado lis pass dii pulando Ud pdal p s qu REEE 64 6 2 8 1 1 Certificados de Classe 1 eeeeeseremeeeeemeeesemeoreenserersenecmennemmersneenao 64 6 2 8 1 2 Certificados de Classe 2 ssassiiazessessenssssasesorictossscesctenianiceasesciocessiaseneacosemasisi 64 6 2 8 1 3 Certificados de Classe 3 e eeeeeseremeeeremecememeereenserenserscmenesenersneenso 64 6 2 8 2 Clientes Gateway Classe 1 ss e eeereoemereoreeesereeeemeeesoneersereeserecesmmemsonensars 64 6 2 8 3 Centros de Processamento Classe 1 3 asussunsunnunnnnnnnnonnnunnnnnnnnunnnunnnnnnnnnnnnnnnnn nnn nnnn nnna 64 6 2 9 M todo de destrui o de chave privada sssssusnsusenusenuuunnunenununununnunnnunenununnunnnununenunnnnnnennnennnen nn 64 6 2 9 1 Clientes Gateway Classe 1 s sssssssnsueneunsnununnnunnunnnnnnnununnnnnnununnnnnnnnnnnnunnnnnnnnnnnnnn ennnen nannan 64 6 2 9 2 Centros de Processamento Classe 1 3 sssssssiteseneeesesmesseesensaesasanaseneeenaaannaenaaa 64 6 3 Outros Aspectos do Gerenciamento do Par de Chaves Classe 1 3 nsssssssssnunnnsunnnunnnnnnnnnnunnnunnnnnnnnnnnnnn 65 6 3 1 Arquivamento de chave p blica ssenunsunnsenunenunnnuunenunununnnnununununununnunnnununununnunnnununennnnnnnnennn ennnen nn 65 6
210. r Certificados para uma base de usu rios que eles n o conhecem por m realizam transa es com tais usu rios Por exemplo um fabricante e Cliente de PKI Gerenciada pode quere distribuir Certificados n o para seus pr prios funcion rio mas para funcion rios de revendedoras de seus produtos Os funcion rios da f brica conhecem os revendedores mas n o o dono fabricante O Servi o de Autentica o de N vel Duplo permitir ao fabricante distribuir Certificados aos funcion rios dessas revendedoras De forma espec fica o Servi o de Autentica o de N vel Duplo possibilita a um Cliente de PKI Gerenciada como o fabricante a delegar fun es de AR s organiza es com as quais ele tem um relacionamento comercial como as revendedoras neste exemplo Essas organiza es devem celebrar um contrato aprovado pela VeriSign ou uma Afiliada confirmando esta delega o e solicitando que se cumpram as obriga es da RA Os Solicitantes ao Certificado devem ser Indi v duos Afiliados em rela o a estas organiza es Uma PKI Gerenciada para Cliente SSL ou PKI Gerenciada para Cliente SSL Premium Edition pode apenas aprovar Solicita es de Certificado de servidores dentro de suas pr prias organiza es PKI Gerenciada para Clientes SSL e PKI Gerenciada para Clientes SSL Premium Edition n o t m permiss o para aprovar Solicita es de Certificado de Classe 3 de qualquer servidor fora de suas respectivas organiza es tampouco podem
211. r Global em nome de Assinantes usu rios final que s o clientes desses Web Hosts Em bora ajudem no processo de inscri o veja 4 1 1 da PC os Web Hosts n o executam fun es de valida o que s o feitas por um Centro de Processamento ou Centro de Servi os Al m disso os Web Hosts n o s o os Assinantes de IDs de Servidor Seguro e IDs de Servidor Global Os clientes de Web Hosts obt m estes Certificados como os verdadeiros Assinantes e s o respons veis pelo cumprimento das obriga es do Assinante conforme o Contrato do As sinante Os Web Hosts t m uma obriga o em fornecer o contrato de assinante aplic vel a seus clientes para inform los de suas obriga es 1 1 2 1 5 VeriSign Gateway Services O software de servidor de Certificados da Netscape e Microsoft permite que as organiza es te nham suas pr prias autoridades certificadoras Em geral estas organiza es podem estabelecer suas ACs dentro de uma hierarquia privada n o podem interoperar com outro dom nios sem uma interopera o ou organiza o de distribui o de raiz Entretanto os servi os Gateway per mitem a estas ACs entrar na VTN e consequentemente permitir que seus usu rios interoperem com Parte Confiante da VTN no mundo Os clientes Gateway se tornam ACs dentro da VTN quando um Cliente Gateway firma um con trato adequado com VeriSign ou uma Afiliada onde uma de suas ACs VTN emitem um Certi ficado de Gateway ao Cliente Gateway O Certi
212. r a interopera o com outras PKIs conforme o caso O PMA respons vel pela aprova o ou reprova o de solicita es das interopera es Esta interopera o inclui por m n o se limita a tipos espec ficos de certifica o cruzada A certifica o cruzada pode incluir a emiss o de Certificados ou o recebimento de Certificados cruzados A VeriSign considerar a interopera o com uma hierarquia para uma classe espec fica de Certificados pela avalia o de fatores que incluem mas n o se limitam a G ERTI i imprensaoficial 12 VTN_PC_1 indd 4 D 12 21 04 3 47 10 PM E TERN O mo mano O grau em que a PKI de Parte Confiante oferece fun es substancialmente similares e o n vel de seguran a e con fiabilidade em compara o aos servi os para aquela Classe de Certificados O n vel de melhoria trazido com a interopera o em benef cio dos servi os VTN para Afiliadas Clientes Assinantes e Parte Confiante A capacidade de PKIs interoper veis em oferecer suporte ao conjunto extenso e robusto de servi os de ciclo de vida de forma cont nua e A necessidade empresarial por tal interoperabilidade Para tal necess ria a execu o de um contrato de interopera o 1 1 1 Vis o Geral da Pol tica A VeriSign oferece tr s classes distintas de servi os de certifica o Classes 1 3 para Internet com ou sem fio e outras redes Cada n vel ou classe de Certificado oferece uma funcionalidade espe
213. ra a VeriSign e Afiliadas este am biente deve cumprir com os requisitos do Guia de Requisitos de Seguran a e Auditoria Tais requisitos se baseiam parte nos estabelecimento de camadas de prote o f sica Uma camada uma barreira como uma porta trancada ou um port o fechado que fornece controle de acesso obrigat rio aos indiv duos e requer uma resposta positiva por exemplo as portas destravam ou o port o se abre para que cada indiv duo processa rea seguinte Cada camada sucessiva oferece acesso mais restrito e maior seguran a f sica contra instru es e acesso n o autorizado Al m disso cada camada f sica de seguran a deve conter a pr xima camada interna de tal forma que a camada interna esteja completamente contida na camada externa e n o possui uma parede externa em comum com a camada externa sendo a camada mais externa a parede externa da instala o predial 5 1 1 1 Requisitos para Clientes Gateway Classe 1 A instala o de um Cliente Gateway que aloja sua AC dever possuir no m nimo duas camadas f sicas de seguran a Camada 1 e Camada 2 onde os Clientes Gateway dever o realizar todas as opera es de criptografia dentro da Camada 2 ou superior 5 1 1 2 Requisitos para Clientes de PKI Gerenciada Classe 1 3 A instala o de um Cliente de PKI Gerenciada que comporta as fun es de sua AR dever o ter no m nimo duas camadas de prote o f sica Camada 1 e Camada 2 Todas as opera es de valida
214. redes de produ o logicamente separadas de ou tros componentes Esta separa o impede o acesso rede exceto atrav s dos processos de aplicativos definidos Os Centros de Processamento dever o usar firewalls para proteger a rede contra intrus es internas e externas e limitar a natureza das atividades de rede que podem acessar os sistemas de produ o Os Centros de Processamento dever o impor o uso de senha com um comprimento m nimo de caracteres e um combina o de caracteres alfanum ricos e especiais tal senha dever ser trocada periodicamente e sempre que se fizer necess rio O acesso direito ao banco de dados do Centro de Processamento mantenedor do reposit rio limitar se s Pessoas Qualificadas no grupo operacional do Centro de Processamento com motivos comerciais v lidos para tal acesso 6 5 1 2 Controles para Clientes Gateway Classe 1 Os servidores Gateway dever o incluir as seguintes funcionalidades e controle de acesso aos servi os de AC e identifica o e autentica o para a inicializa o de servi os de AC e reutiliza o objetiva da mem ria vol til de acesso da AC G ERTI d imprensaoficial 12 VTN_PC_1 indd 67 D 12 21 04 3 47 45 PM E TEEN O EEE O e uso de criptografia para comunica o de sess o e seguran a de banco de dados e arquivamento do hist rico e dados de auditoria da AC e Assinantes e auditoria de eventos relacionados seguran a e auto teste para servi os de AC re
215. rocessamento e Clientes Gateway dever o preencher os Certificados VTN com o nome exigido conforme a PC 3 1 1 Al m disso os Centros de Processamento e Clientes Gateway dever o incluir nos Certi ficados de Assinante um campo adicional de unidade organizacional Organizational Unit que cont m uma notifica o declarando os termos de uso do Certificado est o definidos em uma URL e a URL dever ser indi cada no Contrato de Parte Confiante aplic vel As exce es aos requisitos supracitados limitar se o somente quando houver restri es de espa o formato ou interoperabilidade nos Certificados impossibilitando o uso da Unidade Organizacional junto com a aplica o esperada do Certificado 7 1 5 Restri es de nomes Sem estipula o 7 1 6 OID Object Identifier de Pol tica de Certificado O identificador de uma pol tica de Certificado correspondente a cada Classe de Certificado definido na PC 8 1 2 Os Centros de Processamento e Clientes Gateway dever o preencher a extens o CertificatePolicies em cada Certificado VTN X 509 Vers o com o identificador correspondente classe de Certificado definida na PC 1 2 7 1 7 Uso da extens o Policy Constraints Sem estipula o 7 1 8 Sintaxe e sem ntica dos qualificadores de pol tica Os Centros de Processamento e Clientes Gateway dever o preencher todos os Certificados VTN X 509 Vers o 3 Certificados VTN com um qualificador de pol tica nas extens es C
216. rocessamento e Clientes Gateway revogam os Certificados por eles emitidos com base nas Solicita es de Certificado por eles aprovadas Os Centros de Processamento tamb m dever o re vogar os Certificados em conformidade com as solicita es de revoga o de seus Centro de Servi os e de Clientes de PKI Gerenciada e Clientes ASB dentro de seus subdom nios A VeriSign Afiliadas Clien tes de PKI Gerenciada Gateway e Clientes ASB dever o iniciar a revoga o de Certificado de Assinante quando exigido pelo disposto no par grafo 4 4 1 1 desta PC Os Contratos de Assinante dever o exigir do Assinante sua notifica o entidade seja uma AC ou AR que aprovou sua Solicita o de Certificado caso este Assinante saiba ou suspeite que ocorreu um Comprometimento da chave privada do Assinante conforme os procedimentos determinados no 4 4 3 1 da PC 4 4 1 2 Circunst ncias para revoga o de certificados de ACs e ARs O Certificado emitidos a um Centro de Processamento Centro de Servi os Cliente de PKI Gerenciada dispositivo de controle de acesso de hardware da Administra o Automatizada ou Cliente Gateway dever ser revogado nos seguintes casos e A Entidade Superior da AC ou AR descobre ou tem motivos para crer que h um Comprometimento da chave privada da AC ou da AR e O contrato entre a AC ou AR com sua Entidade Superior foi rescindido e A Entidade Superior das ACs ou ARs descobre ou tem motivos para crer que o Certifica
217. rometimento representa uma perda roubo modifica o divulga o ou uso n o autorizado da chave privada Informa es Sigilosas Informa o que deve ser mantida em sigilo conforme a PC 2 8 1 Confidenciais Consumidor como em Uma linha de neg cio em que uma Afiliada atua para fornecer Certificados de Varejo Centro de Atendimento cliente a Solicitantes de Certificado ao Consumidor Contrato de Utiliza o Um contrato que define os termos e condi es sob as quais uma LCR ou informa es de LCR podem ser utilizadas Cliente Organiza o que um Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB Recibo Digital Um objeto de dados criado referente ao Servi o de Notariza o Digital VeriSign e digitalmente assinado pela Autoridade de data o que inclui o hash de um documento ou conjunto de dados e um selo cronol gico mostrando que o documento ou dado existiram em certo momento Electronic Data As trocas entre computadores de transa es comerciais tais como ordens de compra Interchange EDI Troca faturas e notifica es de pagamento conforme os padr es aplic veis eletr nica de dados Electronic Data Um Certificado corporativo Classe 3 que permite a assinatura digital em mensagem EDI e Interchange tamb m para a codifica o de me nsagens EDI Interchange Certificate Certificado EDI Enterprise como em Uma linha de neg cio em que uma Afiliada que fornece servi os de PKI a Clientes de PKI Cen
218. rvi os Clientes de PKI Gerenciada e Clientes Gateway dever o revisar seus registros de auditoria em resposta a alertas baseados em irregularidades e incidentes oriundos dos sistemas da AC AR Os Centros de Processamento dever o comparar seus registros de auditoria com os registros eletr nicos e manuais de apoio de seus Clientes de PKI Gerenciada e Centros de Servi os sempre que qualquer a o for considerada suspeita O processamento do registro de auditoria consistir na revis o dos registros de auditoria e na documenta o do motivo para todos estes eventos significativos em um resumo dos registros de auditoria As revis es dos registros de auditoria dever o incluir a verifica o da inviolabilidade do registro inspe o de todas as entradas de registro e investiga o de alertas ou irregularidades registradas As medidas a serem tomadas com base nas revis es do registro de auditoria dever o ser documentadas 4 5 3 Per odo de reten o para registros de auditoria Classe 1 3 Os registros de auditoria dever o ser retidos por um per odo m nimo de 02 dois meses ap s o processamento e posterior arquivamento conforme disposto no 4 6 2 da PC 4 5 4 Prote o de registro de auditoria Classe 1 3 Os registros de auditoria dever o ser protegido por um sistema eletr nico de registros de auditoria que inclui mecanismos de prote o para os arquivos de registro impedindo a visualiza o modifica o exclus o ou ou
219. s Finalmente sem limitar se generalidade do seguinte as partes secretas de uma chave privada de AC s o de propriedade da AC e esta por sua vez ret m todos os Direitos de Propriedade Intelectual sobre tais partes secretas mesmo que n o detenham a posse f sica destas partes ou a AC da VeriSign 3 IDENTIFICA O E AUTENTICA O 3 1 Registro inicial 3 1 1 Tipos de nomes Classe 1 3 Os Certificados de Assinantes dever o conter um nome distinto X 501 no campo de nome Subject O nome distinto de Objeto dos Certificados do Assinante incluem um componente de nome comum CN O valor autenticado de componente de nome comum inclu a os nomes distintos dos Objetos dos Certificados cor porativos dever o ser um nome de dom nio no caso de IDs de Servidor Seguro e IDs de Servidor Global ou a denomina o da organiza o ou unidade de neg cio O valor autenticado de nome comum inclu do no nome distinto de Objeto de um Certificado ASB Corporativo de Classe 3 dever ser o nome pessoal comu mente aceito do representante autorizado da empresa para o uso da chave privada sendo o componente o ERTI 5 imprensaoficial 12 VTN_PC_1 indd 34 amp 12 21 04 3 47 27 PM E JRERHE O EEE O da organiza o O a denomina o da organiza o O valor de nome comum inclu do no nome distinto de Objeto de Certificados individuais representar o nome pessoal comumente aceito do indiv duo Os nomes comuns dever o ser autenticados em caso d
220. s Gateway e Clientes ASB dentro de seus respectivos Subdom nios nos termos dos par grafos 4 4 9 e 4 4 1 1 desta PC Quando Clientes Gateway notificam a VeriSign ou Afiliada sobre uma revoga o conforme o par grafo 2 6 1 2 o Centro de Processamento aplic vel dever incluir a notifica o de revoga o no reposit rio adequado 2 6 1 2 Publica o por Clientes Gateway Os Clientes Gateway dever o publicar os Certificados por ele emitidos conforme o par grafo 2 1 5 da PC e para fornecer informa o de estado do Certificado Mediante revoga o de um Certificado de Assinante os Clientes Gateway dever o notificar sua Entidade Superior seja ela a VeriSign ou uma Afiliada sobre a revoga o para inclus o no reposit rio da Entidade Superior 2 6 2 Freqi ncia da Publica o As informa es da AC dever o ser publicadas assim que disponibilizadas AC Os DPCs dever o conter disposi es referentes a aditamentos realizados e as altera es nas DPCs dever o ser publicadas conforme disposto Os par grafos 4 4 9 4 4 11 da PC reger o a frequ ncia da publica o de informa es de estado de Certificado 2 6 3 Controles de Acesso A VeriSign e Afiliadas n o dever o usar de forma intencional quaisquer meios t cnicos de limite de acesso a esta PC DPC Certificados informa es de estado de certificados ou LCRs A VeriSign e Afiliadas dever o entretanto solicitar que as pessoas concordem com um Contrato de Parte
221. s conforme disposto no 4 6 1 dever o ser mantidas em uma instala o de recupera o de desastres distinta conforme o 4 8 da PC 4 6 5 Requisitos para data o de registros Certificados LCRs e outras entradas no banco de dados de revoga o dever o conter informa es de data e hora Tais informa es cronol gicas n o requerem criptografia Vale ressaltar que o uso de data o separado do Servi o de Cart rio Digital VeriSign veja 8 1 1 2 2 2 da PC o ERTI di imprensaoficial 12 VTN PC 1 indd 49 D 12 21 04 3 47 35 PM E TEEN O EEE O 4 6 6 Sistema de coleta de dados de arquivo Os sistemas de coleta de dados de arquivo de entidades dentro da VTN dever ser feito internamente exceto pelos Clientes de PKI Gerenciada para os quais a funcionalidade de PKI Gerenciada oferece um servi o externo de coleta de dados de arquivo Os Centros de Processamento dever o auxiliar os Clientes de PKI Gerenciada na conserva o da trilha de auditoria Este sistema de coleta de dados de arquivo portanto para aquele Cliente de PKI Gerenciada externo Caso contr rio as entidades dentro da VTN devem utilizar os sistemas interno para a coleta de dados de arquivos As CPs da VeriSign e Afiliadas dever o exigir seus pr prios sistemas de coleta de dados de auditoria interna bem como para seus Clientes Gateway e Clientes de PKI Gerenciada 4 6 7 Procedimentos para obten o e verifica o da informa o do arquivo Para i
222. s Centros de Processamento dever o gerar os dados de ativa o das chaves privadas de suas ACs bem como chaves privadas de Centros de Servi o Cliente Clientes de PKI Gerenciada e Clientes ASB dentro de seus respectivos Subdom nios conforme o Guia de Refer ncia da Cerim nia da Chave e o Guia de Requisitos de Seguran a e Auditoria 6 4 2 Prote o dos dados de ativa o Os participantes da VTN dever o proteger os dados de ativa o de suas chaves privadas usando m todos para a prote o contra perda roubo modifica o divulga o ou uso n o autorizado de tais chaves privadas 6 4 2 1 Assinantes Classe 1 3 e Clientes Gateway Classe 1 Os Assinantes e Clientes Gateway dever o proteger os dados de ativa o de suas chaves privadas usan do m todos para a prote o contra perda roubo modifica o divulga o ou uso n o autorizado de tais chaves privadas 6 4 2 2 Centros de Processamento Classe 1 3 Centros de Processamento utilizar o Secret Sharing em conformidade com a PC 6 2 2 e o Guia de Requisitos de Seguran a e Auditoria Os Centros de Processamento dever o fornecer procedimentos e meios para que os Shareholders possam tomar as precau es necess rias para evitar a perda roubo modifica o divulga o ou uso n o autorizado das Secret Shares que possuem Os Shareholders n o dever o e Copiar divulgar ou disponibilizar o Secret Share a Parte Confiante ou praticar o uso n o autorizado do m
223. s Entidades que desejam se tornar Afiliadas assinam um contrato com a VeriSign e enviam uma pro posta de DPC ao Departamento de Pr ticas e Assuntos Externos da VeriSign O Departamento de Pr ticas e Assuntos Externos dever aprovar ou rejeitar as DPCs a seu exclusivo crit rio Veja a PC 1 4 2 para informa es de contato com o Departamento de Pr ticas e Assuntos Externos Acr nimos e Defini es Tabela de Acr nimos Acr nimo Termo ANSI American National Standards Institute Authentication Service Bureau Business to business interempresarial United States Bureau of Industry and Science of the United States Department of Commerce United States Bureau of Export Administration of the United States Department of Commerce which has been replaced by the BIS Autoridade Certificadora Pol tica de Certificado Electronic Data Interchange Troca eletr nica de dados EDI para administra o com rcio e transporte padr es estabelecidos pela UNECE Comiss o Econ mica para a Europa das Na es Unidas United States Federal Information Processing Standards PINO PIN n mero pessoal de identifica o PKCS Padr o de Criptografia de Chave P blica a Declara o de Padr es de Auditoria promulgado pelo American Institute of Certified Public Accountants ICP Infra estrutura de Chave P blica G ERTI da limprensaoficial 12 VTN_PC_1 indd 74 D 12 21 04 3 47 49 PM Def
224. s de PKI Gerenciada dever o contar com controles de pessoal no local para evitar que Adminis tradores do servi o de Gerenciamento de Chave e outras pessoas tenham acesso n o autorizado s chaves privadas 6 2 4 C pia de seguran a da chave privada Classe 1 3 Os Centros de Processamento e Clientes Gateway dever o fazer as c pias de seguran a de suas pr prias chaves para que possa recuper las em caso de desastre ou mau funcionamento do equipamento conforme o Guia de Refer ncia da Cerim nia da Chave e o Guia de Requisitos de Seguran a e Auditoria Centros de Processamento tamb m dever o fazer as c pias de seguran a das chave privadas de Centros de Servi os Cliente Clientes de PKI Gerenciada e Clientes ASB em conformidade com estes documentos As c pias de seguran a dever o ser feitas copiando as chaves privadas e inserindo as nos m dulos criptogr ficos de seguran a em conformidade com o 6 2 6 desta PC As chaves privadas s o copiadas e protegidas contra a modifica o ou divulga o n o autorizadas por meios f sicos e criptogr ficos As c pias dever o ser protegidas com um n vel f sico e criptogr fico de prote o igual ou superior quele dos m dulos criptogr fico dentro das instala es da AC do Centro de Centro de Processa mento ou Cliente Gateway como em um local de recupera o de desastre ou outra instala o segura distinta como o cofre de um banco A c pia de seguran a das chaves privadas
225. s de Parte Confiante sujeitos ao Contrato de Uso de LCR Contrato de Parte Confiante e demais contratos aplic veis 2 2 9 2 Direitos de propriedade na PC 2 2 9 3 Direitos de propriedade sobre nomes Os Participantes da VTN reconhecem os Direitos de Propriedade Intelecutal nesta PC Um Solicitante de Certificado det m todos os direitos que possui se houver sobre quaisquer marcas comerciais marcas de servi o ou nome fantasia contido em qualquer Solicita o de Certificado e nome distinto dentro de um Certificado emitido ao referido Solicitante 2 9 4 Direitos de propriedade sobre chaves e materiais de chaves Os pares de chaves correspondentes aos Certificados das ACs e Assinantes s o propriedade das ACs e Assinantes que s o os respectivos Objetos destes Certificados sujeitos aos direitos dos Clientes de PKI Gerenciada usando o Gerenciador de Chave de PKI Gerenciada independente do meio f sico onde es t o armazenados e protegidos e pessoas detentoras de todos os direitos de propriedade intelectual referentes a estes pares de chaves Sem limitar se generalidade apresentada a seguir as chaves pu blicas raiz da VeriSign e Certificados raiz que as cont m incluindo todas as chaves p blicas de APCs e Certificados com assinatura pr pria s o de propriedade da VeriSign A VeriSign licencia fabricantes de software e hardware reproduzirem tais Certificados de raiz para guardar as c pias em dispositivos de hardware ou software seguro
226. s locais prim rios para oferece apoio s fun es de AC AR ap s um desastre de tal propor o que tornaria toda a instala o inoperante Tais equipamentos dever o assegurar total toler ncia a falhas e redund ncia 4 9 Extin o da AC Classe 1 3 A extin o de uma AC n o pertencente VeriSign Afiliada Cliente de PKI Gerenciada Cliente Gateway ou Cliente ASB estar sujeita ao contrato entre a AC sendo extinta e sua Entidade Superior ou o Centro de Servi os Universal Revendedor da Entidade Superior Uma AC em extin o e sua Entidade Superior dever o de boa f fazer uso de to dos os recursos poss veis para acordar sobre um plano de extin o que minimize a interfer ncia nos servi os prestados a Clientes Assinantes e Parte Confiante O plano de extin o pode cobrir quest es como e Notifica o das partes afetadas pela extin o tais como Assinantes Parte Confiante e Clientes e Quem arcar com os custos de tal notifica o a AC sendo extinta ou a Entidade Superior e A revoga o do Certificado emitido para a AC pela Entidade Superior e A conserva o dos arquivos e registros da AC pelo per odo determinado pelo par grafo 4 6 da PC e A continua o dos servi os de suporte ao Assinante e cliente e A continua o dos servi os de revoga o como a emiss o de LCRs ou a manuten o dos servi os online de verifica o de status e A revoga o de Certificados n o revogados e v lidos d
227. s similares que incluam sem limitar se obten o de uma verifica o de antecedentes realizada por um rg o governamental competente Os fatores revelados em uma verifica o de antecedentes que podem ser considerados fundamentos para a rejei o de candidatos a Posi es Qualificadas ou para a tomada de a o contra uma Pessoa Qualificada exis tente s o explicados no Guia de Requisitos de Seguran a e Auditoria geralmente incluem mas n o se limitam aos seguintes fatos e Adultera es feitas pelo candidato ou Pessoa Qualificada e Refer ncias profissionais altamente desfavor veis ou n o confi veis e Certas condena es criminais e Indica es de falta de responsabilidade financeira Os relat rios contendo tais informa es ser o avaliados por funcion rios de recursos humanos e seguran a devendo estes tomarem as medidas cab veis sob a tica do tipo extens o e frequ ncia do comportamento revelado pela verifica o de antecedentes Tais a es podem incluir medidas como o cancelamento de ofertas de emprego feitas aos candidatos a Posi es Qualificadas ou rescis o das Pessoas Qualificadas existentes O uso das informa es relevadas na verifica o de antecedentes para a tomada de a es estar sujeita legisla o aplic vel 5 3 2 1 Procedimentos de verifica o de antecedentes para Clientes Gateway Classe 1 Clientes ASB Classe 2 3 e Clientes de PKI Gerenciada Classe 1 3 Os Clientes Gatew
228. sam os registros comerciais ou bancos de dados com informa es comerciais para aprovar ou rejeitar Solici ta es de Certificado conforme a PC 3 1 9 2 1 O segundo m todo de autentica o que se aplica a Certificados de Classe 2 Varejo e Certificados ASB Individuais de Classe 2 requerem que a VeriSign ou uma Afiliada confirme a identidade das Solicita es e Certificado utilizando as informa es residentes em um banco de dados de um servi o de comprova o de identidade aprovado pela VeriSign confor mea PC 8 3 1 9 2 2 3 1 9 2 1 Certificados de PKI Gerenciada Classe 2 Os Clientes de PKI Gerenciada e Clientes de PKI Gerenciada Lite dever o confirmar a identidade de indiv duos por meio da compara o das informa es de inscri o com os registros comerciais ou bancos de dados de informa es comerciais Por exemplo eles podem confirmar as informa es de inscri o com base nos registros de funcion rio ou contratado aut nomo em um banco de dados de recursos humanos O Cliente de Cliente de PKI Gerenciada ou Cliente PKI Gerenciada Lite pode aprovar a Solicita o de Certificado manualmente usando o Centro de Controle de PKI Gerenciada se as informa es da inscri o coincidirem com os registros do banco de dados usado para a autentica o Este processo conhecido como Autentica o Manual O M dulo de software de Administra o Automatizada para PKIs Gerenciadas e outros sof tware similares da VTN ofer
229. scritos a seguir na rede VTN VeriSign Afiliada Cliente Centro de Servi os Universal Revendedor Assinante ou Terceiro Padr es VTN Os requisitos empresariais legais e t cnicos para a emiss o administra o revoga o renova o e uso de Certificados dentro da Web Host Uma entidade que hospeda um web site de outra como um provedor de servi os na Internet integrador de sistemas Revendedor consultor t cnico e provedores de servi os em software ou entidades Programa Web Host Um programa que permite a inscri o de Web Hosts a IDs de Servidor Seguro e IDs de Servidor Global em nome de Assinantes que por sua vez s o clientes dos Web Hosts Web Site como em web Uma linha de neg cio em que uma Afiliada que fornece ID de Servidor Seguro e site site na Internet Certificados de ID de Servidor Global um a um liidifid Protocolo WAP Wireless Padr o para apresenta o e entrega de informa es sem fio e servi os telef nicos em Application Protocol telefones celulares e outros terminais sem fio Wireless Transport Layer Um protocolo que protege a comunica o dos aplicativos que operam usando o protocolo Security WTLS WAP como as comunica es entre um fone sem fio e um servidor Wireless Transport Layer Um certificado corporativo Classe 3 cujo formato definido como parte do protocolo Security Certificate Wireless Application Protocol que autentica um servidor Wireless Transport Layer Security Certifi
230. se 1 3 sasnsnsussnunsnnnnnnunununnnnnunnunnnununnnnnnnnnnununnnnnnnnnnnnununnnnn nunn nnn nnnn nnmnnn nanena 29 2 6 1 Publica o das Informa es das ACs nn e rereseeasnenamanaceenacearacremaanenannananaa 29 2 6 1 1 Publica o pela VeriSign e Afiliadas n ni ceeereeeeesareneanenaana 29 2 6 1 2 Publica o por Clientes Gateway s sssessusunnsunenenunnnnunununennnnnnunununenununnunnnunenenennunnnenen nna 30 2 6 2 Frequ ncia da Publica o icccaasecsiaoamasisicasiisecassariiineaa dia sonbiisiioaigadisd ca sai iv nedadtoas dad idrecaadia idaesdatacetaniio 30 2 6 3 Controles de Acesso iiris o anaran anaa aa a aaa aaraa aaa aaa Ea apa Eaa narram aaa 30 2 64 REPOSI TIOS Jiasciiss isisseaiossisacntosutitasasednitsiidasinndiis jetandda an idas ce APh aii as digas to daa dal asarna anA N sinana a anaia 30 2 7 Auditoria de Conformidade 2 2s2secscosisossssssassasecpassoasosnsssapasaseanepiicacassasasoandesaasinasgad s panacdasdepinseacpandazes 30 2 7 1 Frequ ncia da Auditoria de Conformidade Classe 1 3 sssssusununsnunnnnnnnnunnnunnnnnnnnununnnennnnnnnnnnnn 31 2 7 2 Identifica o e Qualifica es do Auditor nn eersaserammeraceerserersanenannenaana 31 2 7 2 1 Equipe Realizando Auditorias Internas Classe 1 3 ssssssusesunenennnnunnnnnununnnnnnnnnnennnn 31 2 7 2 2 Qualifica es de Empresas de Auditoria Externa Classe 1 3 ssssises 31 2 7 3 Rela o
231. se 3 oferecem o mais alto n vel de seguran a dentro da rede VTN Eles s o emitidos a indiv duos organiza es e Administradores de ACs e ARs Os Certificados de Classe 3 para Indiv duos pode ser usado para assinaturas digitais codifica o e controle de acesso incluindo uma prova de identidade em transa es de alto valor Esses certificados de Classe 3 oferecem a garantia da identidade do Assinante basea do na presen a pessoal f sica do Assinante perante uma pessoa que confirma sua identidade utilizando um atestado de idoneidade emitido pelo governo federal e outra credencial de identifica o Os demais certifi cados de Classe 3 para organiza es s o emitidos para dispositivos que oferecem autentica o integridade de mensagens software e conte do al m da criptografia de confidencialidade Oferecem ainda garantias da identidade do Assinante baseada em uma confirma o de que a empresa do Assinante existe de fato que sua organiza o autorizou a Solicita o de Certificado e que a pessoa que envia a Solicita o de Certificado em nome do Assinante teve sua autoriza o para faze lo Certificados de Classe 3 Organizacional ASB veja 8 1 1 2 2 1 da PC s o emitidos para uma organiza o para uso por um representante devidamente autorizado que utiliza o Certificado em nome da organiza o O representante pode usar os Certificados para assinaturas digitais criptografia e controle de acesso OS Certifi cados de Class
232. sica da Confidencial N A Verisign Manual de Requisitos de Confidencial N A Seguran a e Auditoria Manual de Refer ncia de Confidencial N A Cerim nia de Chave Comp ndio de Administrador P blico https www verisign com de PKI Gerenciada enterprise library index html P blico https www verisign com enterprise library index html Manual de Administrador de Servi os de Gerenciamento de Chave de PKI Gerenciada Documentos Espec ficos da VeriSign P blico Reposit rio VeriSign de acordo com DPC 2 6 1 Consultar https www verisign com repository Declara o de Pr ticas de Certifica o da VeriSign Acordos secund rios e auxiliares da VeriSign Contratos de PKI Gerenciada Contratos de Assinante e P blico incluindo contratos de PKI Gerenciada Lite mas n o os Contratos de PKI Gerenciada que s o confidenciais Reposit rio VeriSign de acordo com DPC 2 6 1 Consultar https Ayvww verisign com repository Contratos de Partes Confiantes Tabela 1 Disponibilidade de Documentos de Pr ticas b Hist rico dos Certificados Digitais e a Hierarquia VTN Esta PC assume que o leitor est familiarizado com Assinaturas Digitais Infra estrutura de Chave P blica ICP em ingl s PKIs e a rede de confian a da Verisign VTN Caso contr rio a VeriSign recomenda que o leitor receba trei namento no uso de criptografia de chave p blica e infra estrutura de chave p blica com
233. sirisser sanesa reeereeeenaeaneraceneraceanesereranneracrameacrama ara Naidi 28 2 4 Interpreta o e Execu o Classe 1 3 ni ereerereereaneneaneranacramaoracmerameeramaaranannanaa 28 241 Le islat aisaicsiadiaiasdicaga andas filha daiiga Sadia did gadaad a oia fundida ads danca asda adiadas 28 2 4 2 Individualidade Perman ncia em Vigor Incorpora o Notifica o in 28 2 4 3 Procedimentos na Solu o de Disputas sssessusenunenonennunnnununununnunununununnnnnnunununenunnnnunenunenunen nunen 28 2 4 3 1 Disputas entre a VeriSign Afiliadas e Clientes ninar 28 2 4 3 2 Disputas com o Titular Usu rio Final ou Parte Confiante s see 28 25 Tarifas Class6 1 3 orinis ra aa araara aaRS dia ndna Sindano Taiana raaa Ai 29 2 5 1 Tarifas de Emiss o e Renova o de Certificado s nsnssusunuennnnnnnunununnnnnnnnnnununununnnnnnnnnnnnnnnnnnnnn nn 29 2 5 2 Tarifas de Acesso ao Certificado nsusununnnnnnonunenunnnununnenenunununnnnnnnnununnnnnnnunnnnnnunununn ennnen unnn nnn nnmnnn 29 2 5 3 Tarifas de Revoga o ou de Acesso Informa o de Status arena 29 2 5 4 Tarifas para Outros Servi os como Informa o de Pol tica sn irao 29 2 5 5 Politica de Reembolso sisaisissisossicescassrisvasistanpadiisrasainin inada ses sasdidenin sdinisndnsainodeiiiniasacinisnaddicantanindo 29 2 6 Publica o e Reposit rio Clas
234. sitos materiais da CPS aplic vel e Os servi os de revoga o e uso de um reposit rio est o em conformidade com a CPS aplic vel em todos os aspectos materiais Os Contratos de Parte Confiante dever o conter uma garantia a Parte Confiante que dependem de um Certificado que e Todas as informa es contidas ou incorporadas por refer ncia em tal Certificado exceto por Infor ma es do Assinante N o verificadas est o corretas Em caso de Certificados que aparecem em um reposit rio que o Certificado foi emitido para um indiv duo ou organiza o indicados no Certificado como o Assinante e que o Assinante aceitou o Cer tificado conforme o par grafo 4 3 e e As entidades aprova o a Solicita o de Certificado e emitindo o Certificado cumpriram substancial mente com a CPS aplic vel na emiss o do Certificado Al m dessas garantias o Plano de Prote o NetSure VeriSign fornece garantias aos Assinantes que adquiriram Certificados sujeitos ao Plano de Prote o NetSure dentro do subdom nio da VeriSign ou em subdom nios das Afiliadas participantes Estas garantias adicionais cobre as atividades do Assinante quando na posi o de Parte Confiante Para mais informa es sobre o Plano de Prote o NetSure veja o par grafo 1 1 2 2 3 da PC 2 2 1 2 Termos de Exonera o de Garantias Garantias das Autoridades Certificadoras Na medida da legisla o aplic vel os Contratos de Assinante e Parte Confiante dev
235. smo que a identidade associada ao remetente seja desconhecida Nota apenas uma senten a judicial comiss o de arbitragem ou outro tribunal podem definitivamente evitar a rep dio Por exemplo uma assinatura digital verificada com refer ncia a um Certificado VTN pode servir de prova na sustenta o de uma determina o de n o rep dio por um tribunal mas que n o consistem em n o rep dio por si mesma Certificado OFX Um certificado corporativo de classe 3 emitidos ao servidor de uma institui o financeira para uso com a especifica o Open Financial Exchange OFX OCSP Online Certificate Um protocolo que fornece a Parte Confiante informa es de status de certificados em Status Protocol tempo real Protocolo de Status de Certificado On line OnSite Consulte PKI Gerenciada OnSite OnSite Administrator Consulte Administrador de PKI Gerenciada 0 Administrador de PKI Gerenciada OnSite onse Aaminstator s Veja o Guia Come Administrador demo a Administrador de PKI Gerenciada Handbook OnSite Agreement Consulte o Contrato de PKI Gerenciada Certificado OnSite Certificado de PKI Gerenciada OnSite Control Center Managed PKI Control Center centro de controle de PKI Gerenciada centro de controle OnSite Cliente OnSite Cliente OnSite Veja Cliente de PKI Gerenciada Lite 0 Veja Cliente de PKI Gerenciada Lite 0 de PKI Gerenciada Lite Administrador de Chave Veja software Managed PKI Key Manag
236. ssssessnsuensunenununonunnunnnununununnunnnunununnnnnnnnunununnnnnnununnnen nnen nann nenene 44 4 4 2 1 Quem pode solicitar a revoga o de um certificado de assinante 44 4 4 2 2 Quem pode solicitar a revoga o de um certificado de uma AC ou AR 44 4 4 3 Procedimento para solicita o de revoga o ssususnsenesennnnnnununununnunnnununununununnunnnunenenunnnnnnenen ena 45 4 4 3 1 Procedimento para solicita o de revoga o de um certificado de assinante 45 4 4 3 2 Procedimento para solicita o de revoga o de um certificado de uma AC ou AR 45 12 VTN PC tiindd V D 12 21 04 3 47 02 PM E JRERHE O EEE O 4 4 4 Prazo para solicita o de revoga o ss sssensusenenenonunnununununennnnunununununnunnnunununennnnnnunununennnennnnnnenen nna 45 4 4 5 Circunst ncias para suspens o n ss tananana anaa eannan isina arada anana iannu nana EaR anna 45 4 4 2 Quem pode solicitar a suspens o s sssssssnsnensususenunununnunnnununenunnnnununununnnnnnunununenunennunnnunenenunnnnnnen anena 45 4 4 7 Procedimento para solicita o de suspens o s ssnsssusenusennnnnnunununennnnnnununununununnunnnunenenunnunnnenen ena 45 4 4 8 Limites no per odo de suspens o s sessnsuunsusenununonunnunnnununununnunnnununennnnnnunununun unnn nun unanen unnn nann nenen nna 45 4 4 9 Frequ ncia de emiss o de LCR se aplic vel ssasusssnsssnnennununununnnnnnunnnun
237. ssssusenusenuuennununununununnunnnununununnunnnununenunnnnnnennnen nnen nn 68 6 6 2 1 Software Usado por Clientes Gateway Classe 1 n nn ieeeeareraana 68 6 6 2 2 Software Usado por Clientes de PKI Gerenciada Centros de Servi o e Centros de Processamento sesesssssasceasssassasessisaseasericeasesassaneanesacencaranranesaciane dna sanencas 69 6 6 3 Classifica es de Seguran a de Ciclo de Vida ni ceesresereeerenemeenamnenaa 69 6 7 Controles de Seguran a de Rede Classe 1 3 nssssnssusuunnussnunnnnnnnnunnnunnnununnunnnunennnnnnnnnnnnunnnnnnnnnnnnnnnn ennnen 69 6 8 Controles de Engenharia do M dulo Criptogr fico Classe 1 3 n nes 69 7 PERFIS DE CERTIFICADO E LCR CLASSE 1 3 e ieeeoremmeroneeneeonecneeeeoneeneronenesnecnesenecneenesenennaa 69 74 Perfil do Certificado a E E E isastadtansoseisficascas cessaztitunpasiescaeanndecasinio 69 12 VTN PC 1 indd VIII D 12 21 04 3 47 06 PM ET j j i O EEE O 72144 N mero s de Vers o sis cssaisscaadiassgio osdndia fan ddas foda du fadada dia dan o da ii ida ad nino Cd n 70 7 1 2 Extens es de Certificado 55 2 2 2 02200550555555005000020 05206cucaiop 0i0adeseiasaoasonpdbSeiga a L4p aaea Ea 70 7 1 2 1 Utiliza o da chave n cr erenecesenearaceraneatnanneracnaeracrannararaannanaa 70 7 1 2 2 Extens o das pol ticas de certificado nn ierereeesenenearenaana 70 7 1 2 3 Nomes alternativos
238. ssunnnnnunnnnnunnnnnunnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn nnn nnn nenna na 54 51 7 Destrui o de lixo Classe 1 3 s sscscscsacesseasesosceascostssracecovacestasiessdasiorronstavinsdericoniasiivcasanndasadisde 54 5 1 8 C pias de seguran a em local externo Classe 1 3 n nn rerersanensanenaanas 54 5 2 Controles Procedimentais sssssisssessessssssescesssessessressascessrenincorcaressrascencicerandasorantaconterescasoreatacentesascuacran dcos 54 5 2 1 Perfis qualificados sssrinin igrana e anea aeaaaee aaa aaa naaar SagoifsSesGecab0s osoclanodeadosa facas 54 5 2 1 1 Perfis Qualificados de Cliente Gateway Classe 1 e Centro de Processamento Classe 153 arani a iA aaa daa 54 5 2 1 2 Perfis Qualificados de Centro de Servi os e Cliente de PKI Gerenciada Classe 1 3 55 5 2 1 3 Perfis Qualificados de Clientes ASB Classe 2 3 n ssussunsunnunnonnnnnnnnnunnnnnnnnunnnnnnnnnnnnnnn nnna 55 5 2 2 N mero de pessoas necess rias por tarefa Classe 1 3 s susssusssussnnnunnnnununnnnnnnnnnnnnnnnunennnnnnnnnnnn 55 5 2 3 Identifica o e Autentica o de cada perfil Classe 1 3 ssnsnsnnsusunnsnnnnnunununnnnnnununnnnnununnenennnnna 55 5 3 Controles de Pessoal sissrissininasnnannna aaan AAAA AKA NANANA RENAE NAANA RANAN 55 5 3 1 Antecedentes qualifica o experi ncia e requisitos de idoneidade Classe 1 3 55 5 3 2 Procedimento de verifica o de antecedentes nn ierareeesremearenamrenamnas 5
239. stradores atrav s do controle de acesso usando a autentica o SSL e cliente antes de permitir a execu o das fun es de revoga o No caso de Administradores de ACs de Clientes ASB fornecendo instru es de revoga o os Provedores ASB dever o autenticar a identidade de tais Administradores de ACs usando comunica o telef nica Os Clientes de PKI Gerenciada que utilizam o M dulo de Administra o Automatizada podem enviar solicita es de revoga o em lotes ao Centro de Processamento Tais solicita es dever o ser autenticadas atrav s de uma solicita o com assinatura digital usando a chave privada no dispositivo de controle de acesso de hardware de Administra o Automatizada do Cliente de PKI Gerenciada As solicita es de Centros de Processamento Centros de Servi os Cliente Clientes de PKI Gerenciada e Clientes Ga teway para a revoga o de um Certificado AC dever o ser autenticadas pelas Entidades Superiores para assegurar que a revoga o foi de fato solicitada pela AC Os Centros de Processamento que recebem uma solicita o de re voga o um Centro de Servi os por iniciativa do pr prio Centro de Servi os o Certificado de AC de um dos Clientes de PKI Gerenciada ou Clientes Gateway dever o autenticar a solicita o para garantir que a revoga o foi de fato solicitada pelo Centro de Servi os o ERTI Mo imprensaoficial 12 VTN PC t indd 40 D 12 21 04 3 47 30 PM ET j ji O EEE O 4 REQUISI
240. tes Clientes de PKI Gerenciada e Clientes ASB em seus Subdom nios conforme o 8 4 6 da PC Os Clientes Gateway dever o usar suas chaves p blicas conforme o par grafo 1 3 4 da PC 6 3 2 Per odos de utiliza o de chaves p blicas e privadas 81 O Per odo Operacional de Certificados deve ser definido conforme o limite de tempo estipulado na Ta bela 9 abaixo Para garantir a seguran a da VTN a VeriSign dever encarregar novas APCs Os per odos operacionais de certificados das novas APCs ser o parcialmente definidos com base nas previs es de desenvolvimento de novas vers es de navegadores O per odo de utiliza o dos pares de chave do Assinante corresponde ao per odo operacional de seus Certificados exceto pelas chaves privadas que continuam a ser utilizadas ap s o per odo operacional para decriptografar mensagens enviadas ao Assinante durante o per odo operacional Observe que o per odo operacional de um certificado encerra mediante sua expira o ou revoga o Uma AC entre tanto n o poder emitir Certificados se seus per odos operacionais extendem se al m do per odo de uso do par de chaves da AC Assim o per odo de utiliza o do par de chaves da AC necessariamente inferior ao per odo operacional do Certificado da AC De maneira espec fica o per odo de utiliza o cor responde ao per odo operacional dos Certificados da AC menos o per odo operacional dos certificados emitidos pela AC Findo o per o
241. to e Clientes Gateway dever o preencher a extens o KeyUsage de Certifi cados de AC X 509 Vers o 3 Certificados de Administra o Automatizada e de Assinantes definindo ou zerando o s bit s e o campo de criticalidade conforme a PC 6 1 9 O campo de criticalidade desta extens o normalmente definido como FALSE falso 7 1 2 2 Extens o das pol ticas de certificado Os Centros de Processamento e Clientes Gateway dever o preencher a extens o CertificatePolicies de Certificados de AC X 509 Vers o 3 Certificados de Administra o Automatizada e de Assinantes com o OID object identifier desta PC conforme o par grafo 7 1 6 e com os qualificadores de pol tica definidos na PC par grafo 7 1 8 O campo de criticalidade desta extens o deve ser definido como FALSE falso 7 1 2 3 Nomes alternativos Centros de Processamento e Clientes Gateway dever o preencher a extens o subjectAltName de Certi ficados de AC X 509 Vers o 3 Certificados de Administra o Automatizada e de Assinantes conforme a RFC 3280 O campo de criticalidade desta extens o deve ser definido como FALSE falso 7 1 2 4 Restri es b sicas Os Centros de Processamento dever o preencher os Certificados de AC X 509 Vers o 3 com uma exten s o BasicConstraints e o campo da AC definido como TRUE verdadeiro Os Centros de Processamento e Clientes Gateway dever o preencher Certificados de Assinantes com uma extens o BasicConstraints por m dever atr
242. todas as PKIs Gerenciadas da VTN para Clientes SSL ou PKI Gerenciada para Clientes SSL Premium Edition PKI Gerenciada para Clientes SSL e PKI Gerenciada para Clientes SSL Premium Edition como outro Clientes de PKI Gerenciada aprovam ou rejeitam Solicita es de Certificado usando a funcionalidade de PKI Gerenciada como tamb m solicitam a revoga o e renova o de Certificados Al m disso como em outros Certificados de PKI Gerenciada a Ve riSign realiza todas as fun es secund rias de emiss o gerenciamento revoga o e renova o de Certificados Clientes de PKI Gerenciada e Clientes de PKI Gerenciada Lite n o t m permiss o para aprovar Solicita es de Certificado de qualquer pessoal que n o seja Indiv duos Afiliados exceto como indicado abaixo Clientes de PKI Gerenciada n o podem aprovar Solicita es de Certificado para Certificados da VTN emitidos para o p blico em geral O Centro de Servi os de Autenti ca o oferece uma solu o para organiza es que desejam obter Certificados para indiv duos n o afiliados e representantes da empresa Consulte o 8 1 1 2 2 1 da PC Al m disso a VeriSign oferece um servi o quer amplia o escopo da afilia o permitida na PKI Gerenciada denominado Two Tier Authentication Service ou Servi o de Autentica o o ERTI i imprensaoficial 12 VTN_PC_1 indd 9 amp 12 21 04 3 47 13 PM E TEEN O EEE O de N vel Duplo Os Clientes de PKI Gerenciada talvez desejem obte
243. tro de Atendimento gerenciada Empresa Enterprise Roaming Um servidor que reside no local do Cliente de PKI Gerenciada usado com o Servi o VeriSign Server Roaming para manter chaves privadas e partes de chaves sim tricas dos Assinantes usadas para criptografar e decriptografar as chaves privadas de Assinantes Roaming G ERTI hi imprensaoficial 12 VTN_PC_1 indd 76 D 12 21 04 3 47 50 PM qo O o i Enterprise Security Guide Um documento que define as recomenda es de seguran a para Clientes de PKI Gerenciada e Clientes Gateway Uma auditoria ou investiga o feita pela VeriSign onde esta tem motivos para crer que uma entidade falhou em atender aos Padr es VTN um incidente ou Comprometimento relacionado entidade ou uma amea a real ou potencial seguran a da VTN causada pela Auditoria Investiga o Completa entidade Gateway Um servi o pela VeriSign ou uma Afiliada que permite uma organiza o usar um servidor independente de Certificado para se tornar uma AC dentro da VTN delegando uma AC da VeriSign a certifica o da chave p blica da organiza o Gateway Administrator Um administrador que executa fun es de valida o e outras fun es de AR para um cliente Gateway Cliente Gateway Uma organiza o que obteve servi os Gateway fornecidos pela VeriSign ou uma Afiliada PR onde a organiza o se torna uma AC dentro da VTN para emitir Certificados de Classe 1 ID de Servidor Global Um cert
244. ucessora conforme o par grafo 4 9 da PC 2 8 1 Tipos de informa es sigilosas Os seguintes registros de Assinantes dever o ser mantidos confidencial conforme o par grafo 2 8 2 da PC Confidential Private Information e Registros de solicita o de AC aprovados ou rejeitados Registros de Solicita o de Certificado sujeitos ao par grafo 2 8 2 da PC e Chave privada mantidas por Clientes de PKI Gerenciada utilizando o Gerenciado de Chave para PKI Geren ciada e demais informa es necess rias para recuperar tais Chaves Privadas e Registros de transa es registros completos e pista de auditora das transa es e Registros VTN com pistas de auditoria criadas ou mantidas pela VeriSign uma Afiliada ou um Cliente Relat rios de auditoria da VTN criados pela VeriSign uma Afiliada ou um Cliente na medida em que os relat rios sejam atualizado ou seus respectivos auditores internos ou p blicos e Planos de conting ncia e planos de recupera o de desastre e e Medidas de seguran a para controlar as opera es do hardware e software da VeriSign ou Afiliada hardwa re e a administra o dos servi os de Certificados e servi os de registros designados 2 8 2 Tipo de informa es n o sigilosas Os Participantes da VTN reconhecem que Certificados revoga o de certificados e outras informa es de estado reposit rios de participantes da VTN e informa es contidas n o s o consid
245. ue a VeriSign ou uma Afiliada utilizam na prova o ou Certifica o rejei o de Solicita es de Certificado e emitindo gerenciando revogando Certificados DPC para serem utilizados por seus Clientes de PKI Gerenciada e Clientes Gateway Frase de Identifica o Uma frase secreta escolhida pelo Solicitante durante a inscri o para o Certificado Quando um certificado emitido o Solicitante se torna um Assinante e a AC ou AR pode usar a Frase de Identifica o para autenticar o Assinante quanto este tenta revogar ou renovar o Certificado de Assinante Certificados ASB Um Certificado individual de Classe 2 emitido por um Provedor ASB em nome de uma AC Certificados ASB Um Certificado corporativo de Classe 3 emitido por um Provedor ASB em nome de uma AC Client OnSite Lite Veja Cliente de PKI Gerenciada Lite Customer Centro de Servi os Cliente Um Centro de Servi os que uma Afiliada fornecendo Certificados cliente para as linhas de neg cio Consumer e Enterprise Auditoria de Auditoria peri dica qual s o submetidos o Centro de Processamento Centro de Servi os Conformidade Cliente de PKI Gerenciada ou Cliente Gateway para determinar sua conformidade com os Padr es VTN aplic veis Comprometimento Uma viola o ou suspeita de viola o de uma pol tica de seguran a onde a divulga o n o autorizada perda de controle sobre informa es cr ticas possa ter ocorrido Com rela o s chaves privadas um Comp
246. um conjunto de servi os plug and play feitos para acelerar a forma com que as empresas implantam aplica es de seguran a para com rcio eletr nico incluindo aplicati vos clientes de e mail e navega o diret rios servi os de rede virtual privada servidores da Web e solu es de planejamento de recursos corporativos PKI Gerenciada em seu mago um servi o de terceiriza o Os Clientes da VeriSign ou suas Afiliadas que obt m uma PKI Gerenciada VeriSign Clientes de PKI Gerenciada s o classificados em tr s categorias Pri meiro alguns Clientes de Gerenciada Clientes de PKI Gerenciada fornecem Certificados clientes para se tornar uma Autoridade Certificadora na rede VTN PKI Gerenciada Clientes de PKI Gerenciada realizam as fun es de interface de aprova o ou reprova o de Solici ta o de Certificados da AR usando a funcionalidade da PKI Gerenciada As fun es das ARs s o um sub conjunto de fun es da AC Ao mesmo tempo o Cliente de PKI Gerenciada pode dinamizar a infra estrutura segura de PKI da Rede de Confian a VeriSign terceirizando todas as fun es secund rias de emiss o revoga o gerenciamento e renova o de Certificados para a VeriSign ou uma Afiliada Para uma discuss o sobre Afiliadas e Centros de Processa mento veja o 8 1 1 2 1 2 da PC A segunda categoria de Cliente de PKI Gerenciada Clientes de PKI Gerenciada e PKI Ge renciada Lite utiliza a PKI Gerenciad
247. um servi o de comprova o de identidade aprovado pela VeriSign como uma grande central de cr dito ou outra fonte confi vel de servi os de informa o no pa s ou territ rio da VeriSign ou Afiliada Se as informa es constantes na Solicita o de Certificado coincidem com as informa es no banco de dados a Afiliada poder aprovar a Solicita o de Certificado 3 1 9 3 Certificados Individuais de Classe 3 A autentica o de Certificados Individuais de Classe 3 baseia se na presen a f sica de um Solicitante de Certificado ante um agente de uma Afiliada ou Cliente de PKI Gerenciada ou ante um tabeli o ou o ERTI da imprensaoficial 12 VTN PC tiindd 38 D 12 21 04 3 47 29 PM E PREREHE O EPE O outro oficial com autoridade compar vel dentro da jurisdi o do Solicitante de Certificado O agente tabeli o ou oficial dever o verificar a identidade do Solicitante de Certificado comparando com um formul rio reconhecido de identifica o emitido pelo governo federal como passaporte carteira de habilita o e outras credenciais de identifica o A autentica o de Administradores para Certificados de Administradores de Classe 3 dever consistir na autentica o da exist ncia do empregador do Administrador uma Afiliada ou Cliente de PKI Geren ciada e confirma o do emprego e autoriza o da pessoal nomeada como Administrador A VeriSign e Afiliadas dever o autenticar Solicita es de Certificado primeiro pela aute
248. uncion rios que almejam se tornar Pessoas Qualificadas apresentem provas de antecedentes qualifica es e experi ncia necess rios para executar suas futuras res ponsabilidades de forma completa e satisfat ria bem como prova de qualquer autoriza o necess ria para a realiza o dos servi os de certifica o dispostos em contratos governamentais o ERTI A imprensaoficial 12 VTN PC tindd 55 D 12 21 04 3 47 38 PM E JRERHE O EEE O 5 3 2 Procedimento de verifica o de antecedentes A VeriSign Afiliadas e Clientes dever o realizar procedimentos de verifica o de antecedentes para funcion rios que desejam se tornar Pessoas Qualificadas conforme o Guia de Requisitos de Seguran a e Auditoria no caso da VeriSign e Afiliadas As verifica es de antecedentes ser o constantes para indiv duos em Posi es Qualificadas a cada 03 tr s anos no caso de verifica es de antecedentes realizadas por empresas privadas ou a cada 05 cinco anos no caso de verifica o de antecedentes realizada por entidades governamentais Estes procedimentos estar o sujeitos s limita es em verifica o de antecedentes impostas pela legisla o local Na medida em que uma das exig ncias impostas por esta se o n o possa ser atendida devido a um proibi o ou limita o na legisla o local a entidade encarregada pela investiga o dever utilizar uma t cnica investiga tiva alternativa permitida pela lei que ofere a informa e
249. ver o ser submetidos aprova o da VeriSign e tal aprova o ser uma condi o para que uma Afiliada possa iniciar sua opera es como uma AC ou AR na aprova o de Solicita es de Certificados ou emiss o de Certificados Corporativos de Classe 3 Al m dos procedimentos descritos abaixo o Solicitante de Cer tificado dever demonstrar que ele verdadeiramente possui a chave privada correspondente chave p blica a ser apresentada no Certificado conforme determina esta PC 3 1 7 o ERTI mn imprensaoficial 12 VTN PC t indd 35 D 12 21 04 3 47 27 PM E TEEN O EEE O ad ERTISIGN 12 VTN PC 1 indd 36 3 1 8 1 1 Autentica o de Certificados Corporativos de Varejo A confirma o da identidade de um Solicitante de Certificado para um Certificado Corporativo de Varejo dever constar e A determina o de que a organiza o existe usando pelo menos um servi o ou banco de da dos de comprova o de identidade de Parte Confiante ou documenta o da empresa emitida ou arquivada com o rg o governamental aplic vel que comprove a exist ncia da empresa e Em caso de certificados servidor a determina o que o Solicitante ao Certificado o proprie t rio do registro do nome do dom nio do servidor que o Objeto do Certificado ou autorizado a usar o dom nio e Uma confirma o telef nica carta postal confirmat ria ou procedimento compar vel para que o Solicitante de Certificado confirme certas informa
Download Pdf Manuals
Related Search