e-Güven Sertifika Uygulama Hükümleri - E
Transkript
e-Güven Sertifika Uygulama Hükümleri - E
e-Güven Sertifika Uygulama Hükümleri Sürüm 1.0 Yürürlük Tarihi: Mayıs, 2004 Elektronik Bilgi Güvenliği Anonim Şirketi Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul Türkiye Tel: 212-296 81 46 Fax: 212-296 81 48 www.e-guven.com e-Güven Sertifika Uygulama Hükümleri © 2004 Elektronik Bilgi Güvenliği A.Ş. Her hakkı saklıdır. Revizyon tarihi: Mayıs 2004 Açıklamalar ve Uyarılar VeriSign ve Managed PKI, VeriSign, Inc.’in tescilli markalarıdır. VeriSign logosu, VeriSign Trust Network ve Go Secure!, VeriSign, Inc.’in ticari markaları, hizmet markaları ve servis işaretleridir. Bu dokümanda kullanılan diğer ticari markalar, hizmet markaları ve servis işaretleri ise Elektronik Bilgi Güvenliği A.Ş. veya Siemens Business Services Servis Hizmetleri A.Ş. (SBS) veya ilgili tarafların mülkiyetindedir. Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden Elektronik Bilgi Güvenliği A.Ş.’nin izni alınmadan herhangi bir formda veya herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz, aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez. Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, Elektronik Bilgi Güvenliği A.Ş.’ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin verilebilir. Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye münhasıran verilmez. İşbu Sertifika Uygulama Hükümleri (SUH) ile ilgili yorum ve uyuşmazlıklar öncelikle e-Güven ile uyuşmazlığın karşı tarafı veya dokumanla ilgili olan kişi arasında akdedilen işbu SUH’a atıfta bulunan sözleşme; yorumlamaya konu olan olayın meydana geldiği ve uyuşmazlıkların ortaya çıktığı zaman yürürlülükte olan SUH’un hükümleri çerçevesinde değerlendirilecektir. İşbu SUH’da geçen terimler, değerlendirmeler ve açıklamalar 5070 Sayılı “Elektronik İmza Kanunu”nun kapsamı dışındadır. İşbu SUH’la ilgili uyuşmazlıklarda ve yorumlamalarda “5070 Sayılı Elektronik İmza Kanunu” hükümleri ve bu kanunla ilgili mevzuat uygulanmayacaktır. İşbu SUH içersinde Elektronik Bilgi Güvenliği web sitesinden erişilebileceği veya e-guven.com uzantılı elektronik posta adresinden bildirimde bulunulabileceği belirtilen iletişim adresi, bilgi, belge ve dokümanlara, ilgili siteyle ilgili alt yapı, hazırlık ve kurulum çalışmaları devam ettiğinden dolayı erişilememekte veya iletişim kurulamamaktadır. İşbu SUH içersinde Elektronik Bilgi Güvenliği’nin http://www.e-guven.com alan adından yayın yapacak olan web sitesiyle ilgili gerekli hazırlıklar tamamlandığında ve web üzerinden ilgili bilgi, belge ve dokümanların yayınına başlandığında ilgili taraflara SUH’da belirtilen linkler vasıtasıyla belirtilen bilgi, belge ve dokümanlara erişebilecekleri ve e-guven.com uzantılı elektronik posta adresinden iletişimde bulunulabilecekleri bildirilecektir. İşbu e-Güven Sertifika Uygulama Hükümleri ile ilgili çoğaltılma izinleri (ve yanı sıra e-Güven’den kopyalarının temini) için talepler “Elektronik Bilgi Güvenliği A.Ş., Vali Konağı Cad. No:147/14 34365 Nişantaşı / İstanbul- Türkiye, Dikkatine: Uygulama Geliştirme” adresine yapılmalıdır. Tel: +90 212 296 81 46 Faks: +90 212 296 81 48 Elektronik Posta: practices@e-guven.com Teşekkür Elektronik Bilgi Güvenliği A.Ş., dokümanın incelenmesinde görev alan ve hukuk, politika ve teknoloji gibi çok çeşitli alanlarda uzman olan çok sayıda kişiye katkılarından dolayı teşekkür eder. - ii - İÇİNDEKİLER 1. Giriş 1 1.1 Genel ............................................................................................................................... 2 1.1.1 Politika Hakkında Genel Bilgi ................................................................................ 5 1.1.2 VeriSign’ın VTN Servisleri Sunumu...................................................................... 8 1.1.2.1 Sertifika Dağıtım Servisleri ................................................................................ 8 1.1.2.1.1 e-Güven’in Sunduğu VeriSign Managed PKI® ............................................ 8 1.1.2.1.2 VeriSign Küresel Ortak Programı............................................................... 10 1.1.2.1.3 Web Host Programı..................................................................................... 10 1.1.2.2 Katma Değerli Sertifikalandırma Hizmetleri.................................................... 10 1.1.2.2.1 Kimlik Kontrolü Servisleri ......................................................................... 10 1.1.2.2.2 e-Güven’in Sunduğu VeriSign Dijital Onay Servisi................................... 11 1.1.2.3 Özel Sertifika Tipleri ........................................................................................ 12 1.1.2.3.1 e-Güven’in Sunduğu VeriSign Managed PKI Key Manager Servisleri ..... 12 1.1.2.3.2 e-Güven’in Sunduğu VeriSign Roaming Servisi........................................ 12 1.2 Tanımlama .................................................................................................................... 13 1.3 Kullanıcı Grubu ve Kullanılabilirlik............................................................................. 13 1.3.1 Sertifika Otoriteleri ............................................................................................... 13 1.3.2 Kayıt Otoriteleri .................................................................................................... 14 1.3.3 Son Kullanıcılar .................................................................................................... 14 1.3.4 Geçerlilik............................................................................................................... 15 1.3.4.1 Uygun Başvurular ............................................................................................. 16 1.3.4.2 Sınırlı Başvurular .............................................................................................. 16 1.3.4.3 Yasaklanmış Başvurular ................................................................................... 17 1.4 İrtibat Detayları............................................................................................................. 17 1.4.1 SUH’le ilgili Yetkili Kurum ................................................................................ 17 1.4.2 İrtibat Görevlisi..................................................................................................... 17 1.4.3 SUH’un Politikaya Uygunluğunu Belirleyen Kişi................................................ 18 2. Genel Hükümler 18 2.1 Sorumluluklar ............................................................................................................... 18 2.1.1 SO’nun Sorumlulukları......................................................................................... 18 2.1.2 KO’nun Sorumlulukları ........................................................................................ 19 2.1.3 Abone Sorumlulukları........................................................................................... 19 2.1.4 İtimat Eden Tarafın Sorumlulukları...................................................................... 20 2.1.5 Veri Depolama Sorumlulukları............................................................................. 21 2.2 Sorumluluk.................................................................................................................... 21 2.2.1 Sertifika Otoritesinin Sorumlulukları ................................................................... 21 2.2.1.1 Aboneler ve İtimat Eden Taraflar için Sertifika Otoritesi Garantileri .............. 22 2.2.1.2 Sertifika Otoritesi Sorumsuzluk Kaydı............................................................. 22 2.2.1.3 Sertifika Otoritesinin Sorumluluğunun Sınırlandırılması................................. 22 2.2.1.4 Mücbir Sebep .................................................................................................... 23 2.2.2 Kayıt Otoritesinin Sorumluluğu............................................................................ 23 2.2.3 Abonenin Sorumluluğu......................................................................................... 23 2.2.3.1 Abonenin Vereceği Garantiler .......................................................................... 23 2.2.3.2 Kapalı Anahtarın Korunması ............................................................................ 24 - iii - 2.2.4 İtimat Eden Tarafların Sorumluluğu..................................................................... 24 2.3 Mali Sorumluluk ........................................................................................................... 24 2.3.1 Abonelerin ve İtimat Eden Tarafların Ödeyecekleri Tazminat............................. 24 2.3.1.1 Abonelerin Ödeyecekleri Tazminat .................................................................. 24 2.3.1.2 İtimat Eden Tarafların Ödeyecekleri Tazminat ................................................ 25 2.3.2 Güvene Dayalı İlişki ............................................................................................. 25 2.3.3 İdari Süreçler......................................................................................................... 25 2.4 Yorumlama ve Uygulama Kanunları ............................................................................ 26 2.4.1 Uygulanacak Hukuk.............................................................................................. 26 2.4.2 Bölünebilirlik, Post – Contractus Hükümler, , Bütünlük, İhbar ........................... 26 2.4.3 Uyuşmazlıkların Çözüm Yolları ........................................................................... 26 2.4.3.1 e-Güven ile Müşteriler Arasındaki İhtilaflar..................................................... 26 2.4.3.2 Son Kullanıcı Abonelerle ve İtimat Eden Taraflar Arasındaki İhtilaflar.......... 26 2.5 Ücretler ......................................................................................................................... 27 2.5.1 Sertifika Düzenleme veya Yenileme Ücretleri ..................................................... 27 2.5.2 Sertifika Erişim Ücretleri...................................................................................... 27 2.5.3 İptal veya Durum Bilgisi Erişim Ücretleri............................................................ 27 2.5.4 Politika Bilgisi Gibi Diğer Servislerin Ücretleri................................................... 27 2.5.5 Geri Ödeme Politikası........................................................................................... 27 2.6 Yayınlama ve Veri Depolama....................................................................................... 28 2.6.1 SO Bilgisinin Yayınlanması ................................................................................. 28 2.6.2 Yayınlama Sıklığı ................................................................................................. 29 2.6.3 Erişim Kontrolleri ................................................................................................. 29 2.6.4 Veri Bankaları (Tabanları).................................................................................... 29 2.7 Uygunluk Denetimi....................................................................................................... 29 2.7.1 Kuruluş Uygunluk Denetiminin Sıklığı ................................................................ 30 2.7.2 Denetçinin Kimliği/Nitelikleri .............................................................................. 30 2.7.3 Denetçinin Denetlenen Tarafla İlişkisi ................................................................. 30 2.7.4 Denetim Kapsamındaki Konular........................................................................... 31 2.7.5 Bir Eksiklik İçin Alınan Önlemler........................................................................ 31 2.7.6 Sonuçların İletilmesi ............................................................................................. 31 2.8 Gizlilik ve Özel Bilgi .................................................................................................... 31 2.8.1 Gizli ve Özel Bilgi Kapsamında Tutulacak Bilgi Çeşitleri................................... 31 2.8.2 Gizli veya Özel Bilgi Kabul Edilmeyen Bilgi Çeşitleri........................................ 32 2.8.3 Sertifika İptal/Askıya Alma Bilgisinin İfşa Edilmesi ........................................... 32 2.8.4 Bilgilerin Resmi Makamlara Açıklanması............................................................ 32 2.8.5 Bilgilerin Hukuk Davaları Sırasında Yapılan İstemler Üzerine Açıklanması ...... 32 2.8.6 Bilgi Sahibinin Talebi Üzerine Açıklama............................................................. 32 2.8.7 Diğer Bilgi Açıklama Koşulları ............................................................................ 32 2.9 Fikri Mülkiyet Hakları .................................................................................................. 32 2.9.1 Sertifikalar ve İptal Bilgisinin Mülkiyet Hakları .................................................. 32 2.9.2 SP’nin ve SUH’un Mülkiyet Hakları.................................................................... 33 2.9.3 İsim ve Marka Üzerindeki Hakları ....................................................................... 33 2.9.4 Anahtarların ve Anahtar Malzemesinin Mülkiyet Hakları ................................... 33 3. Tanımlama ve Kimlik Kontrolü 3.1 33 İlk Kayıt ........................................................................................................................ 33 - iv - 3.1.1 İsim Tipleri............................................................................................................ 33 3.1.2 İsimlerin Anlamlı Olması Gereksinimi................................................................. 35 3.1.3 Çeşitli İsim Formlarının Yorumlanmasına Dair Kurallar..................................... 35 3.1.4 İsimlerin Tek Olması ............................................................................................ 35 3.1.5 İsim İhtilaflarını Çözme Prosedürü....................................................................... 36 3.1.6 Ticari Markaların Tanınması, Onaylanması ve İşlevi........................................... 36 3.1.7 Kapalı Anahtara Sahip Olunduğunu Kanıtlama Yöntemi .................................... 36 3.1.8 Kurumun Kimliğinin Kontrolü ............................................................................. 36 3.1.8.1 Kurumsal Son Kullanıcı Abonelerin Kimlik Kontrolü..................................... 36 3.1.8.1.1 Perakende Kurumsal Sertifikalar için Kimlik Kontrolü ............................. 36 3.1.8.1.2 SSL için Managed PKI Müşterileri veya SSL Premium Edition için Managed PKI Müşterileri için Kimlik Kontrolü........................................................... 37 3.1.8.1.3 Sınıf 3 Kurumsal ASB Sertifikaları için Kimlik Kontrolü ......................... 37 3.1.8.2 SO’ların ve KO’ların Kimlik Kontrolü............................................................. 38 3.1.9 Bireysel Kimliğin Kontrolü .................................................................................. 38 3.1.9.1 Sınıf 1 Bireysel Sertifikalar .............................................................................. 39 3.1.9.2 Sınıf 2 Bireysel Sertifikalar .............................................................................. 39 3.1.9.2.1 Sınıf 2 Managed PKI Sertifikaları .............................................................. 39 3.1.9.2.2 Sınıf 2 Perakende Sertifikalar ..................................................................... 40 3.1.9.3 Sınıf 3 Bireysel Sertifikalar .............................................................................. 40 3.1.9.3.1 Sınıf 3 Bireysel Sertifikalar ........................................................................ 40 3.1.9.3.2 Sınıf 3 İdareci Sertifikaları.......................................................................... 40 3.2 Rutin Anahtarlama ve Yenileme................................................................................... 41 3.2.1 Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme 42 3.2.2 SO Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme........................... 43 3.3 İptal Sonrasında Yeniden Anahtarlama ........................................................................ 43 3.4 İptal Talebi .................................................................................................................... 44 4. Operasyon Şartları 45 4.1 Sertifika Başvurusu....................................................................................................... 45 4.1.1 Son Kullanıcı Abone Sertifikaları için Sertifika Başvuruları ............................... 45 4.1.2 SO, KO, Altyapı ve Personel Sertifikaları için Sertifika Başvuruları................... 46 4.1.2.1 KO Sertifikaları................................................................................................. 46 4.1.2.2 KO Sertifikaları................................................................................................. 46 4.1.2.3 Altyapı Sertifikaları .......................................................................................... 47 4.1.2.4 VeriSign Personel Sertifikaları ......................................................................... 47 4.2 Sertifika Düzenleme...................................................................................................... 47 4.2.1 Son Kullanıcı Abone Sertifikaları Düzenleme ..................................................... 47 4.2.2 SO, KO ve Altyapı Sertifikaları Düzenleme......................................................... 47 4.3 Sertifika Kabulü ............................................................................................................ 48 4.4 Sertifikayı Askıya Alma veya İptal Etme ..................................................................... 48 4.4.1 İptal Koşulları ....................................................................................................... 48 4.4.1.1 Son Kullanıcı Abone Sertifikaları için İptal Koşulları ..................................... 48 4.4.1.2 SO, KO veya Altyapı Sertifikaları için İptal Koşulları..................................... 49 4.4.2 Kimler İptal Talebinde Bulunabilir....................................................................... 49 4.4.2.1 Kimler Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Edebilir ........... 49 - v - 4.4.2.2 Kimler Bir SO, KO veya Altyapı Sertifikasının İptalini Talep Edebilir........... 50 4.4.3 İptal Talebi Prosedürü........................................................................................... 50 4.4.3.1 Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Etme Prosedürü........... 50 4.4.3.2 Bir SO veya KO Sertifikasının İptalini Talep Etme Prosedürü ........................ 50 4.4.4 İptal Talebi Süresi ................................................................................................. 50 4.4.5 Askıya Alma Koşulları ......................................................................................... 50 4.4.6 Kimler Askıya Alma Talebinde Bulunabilir......................................................... 50 4.4.7 Askıya Alma Talebi Prosedürü............................................................................. 51 4.4.8 Askıya Alma Süresi Limitleri ............................................................................... 51 4.4.9 CRL Yayınlama Sıklığı......................................................................................... 51 4.4.10 Sertifika İptal Listesi Kontrol Şartları................................................................... 51 4.4.11 Çevrim İçi İptal/Durum Kontrolü Bilgisi Alma.................................................... 51 4.4.12 Çevrim İçi İptal Kontrolü Şartları......................................................................... 52 4.4.13 Mevcut Diğer İptal Duyuru Formları.................................................................... 52 4.4.14 Diğer İptal Duyuruları için Kontrol Şartları ......................................................... 52 4.4.15 Anahtar Tehditleriyle İlgili Özel Şartlar ............................................................... 52 4.5 Güvenlik Denetimi Prosedürleri ................................................................................... 52 4.5.1 Kaydedilen Olay Tipleri ....................................................................................... 52 4.5.2 Kayıt İşleme Sıklığı .............................................................................................. 53 4.5.3 Denetim Kaydı Saklama Süresi ............................................................................ 53 4.5.4 Denetim Kaydının Korunması .............................................................................. 53 4.5.5 Denetim Kaydı Yedekleme Prosedürleri .............................................................. 53 4.5.6 Denetim Bilgisi Toplama Sistemi......................................................................... 54 4.5.7 Olaya Sebep Olan Sertifika Konusuna İhbarda Bulunma..................................... 54 4.5.8 Güvenlik Açıklarının Değerlendirilmesi............................................................... 54 4.6 Kayıtların Arşivlenmesi ................................................................................................ 54 4.6.1 Kaydedilen Olay Tipleri ....................................................................................... 54 4.6.2 Arşiv Saklama Periyodu ....................................................................................... 55 4.6.3 Arşivin Korunması................................................................................................ 55 4.6.4 Arşiv Yedekleme Prosedürleri.............................................................................. 55 4.6.5 Kayıtlara Zaman Damgası Basma Şartları............................................................ 55 4.6.6 Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri............................................. 55 4.7 Anahtar Değiştirme....................................................................................................... 55 4.8 SO’nun Operasyonunun Durdurulması......................................................................... 56 5. Fiziksel, Prosedür ve Personel Güvenlik Kontrolleri 56 5.1 Fiziksel Kontroller ........................................................................................................ 57 5.1.1 Tesisin Yeri ve Yapısı........................................................................................... 57 5.1.2 Fiziksel Erişim ...................................................................................................... 57 5.1.3 Elektrik ve Klima Sistemleri................................................................................. 58 5.1.4 Su Etkisi ................................................................................................................ 58 5.1.5 Yangın Önleme ve Yangına Karşı Korunma ........................................................ 58 5.1.6 Araçların Saklanması ............................................................................................ 58 5.1.7 Atık Atma.............................................................................................................. 59 5.1.8 Tesis Dışı Yedekleme ........................................................................................... 59 5.2 Prosedür Kontrolleri...................................................................................................... 59 5.2.1 Güvenilen Şahıslar ................................................................................................ 59 - vi - 5.2.2 Her Bir Görev için Gereken Kişi Sayısı ............................................................... 60 5.2.3 Her Bir Görev için Tanımlama ve Kimlik Kontrolü............................................. 60 5.3 Personel Kontrolleri ...................................................................................................... 60 5.3.1 Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları ........... 60 5.3.2 Mesleki Bilgi Kontrol Prosedürleri....................................................................... 61 5.3.3 Eğitim Şartları....................................................................................................... 61 5.3.4 Eğitim Sıklığı ve Şartları ...................................................................................... 62 5.3.5 İş Rotasyon Sıklığı ve Sırası ................................................................................. 62 5.3.6 Yetkisiz Eylemlere Karşı Yaptırımlar .................................................................. 62 5.3.7 Sözleşmeli Personel Şartları ................................................................................. 62 5.3.8 Personele Verilen Dokümanlar ............................................................................. 62 6. Teknik Güvenlik Kontrolleri 62 6.1 Anahtar Çifti Yaratma ve Kurma.................................................................................. 62 6.1.1 Anahtar Çifti Yaratma........................................................................................... 62 6.1.2 Kuruluşa Özel Anahtar Verilmesi......................................................................... 63 6.1.3 Sertifika Düzenleyiciye Açık Anahtar Verilmesi ................................................ 63 6.1.4 Kullanıcılara SO Açık Anahtarının Verilmesi...................................................... 64 6.1.5 Anahtarların Büyüklüğü........................................................................................ 64 6.1.6 Genel Kod Parametrelerinin Yaratılması.............................................................. 64 6.1.7 Parametre Kalitesi Kontrolü ................................................................................. 64 6.1.8 Donanım/Yazılım aNAHTARI Yaratılması ......................................................... 64 6.1.9 Anahtar Kullanımının Amaçları ........................................................................... 64 6.1.10 Şifreleme Modülleri için Standartlar .................................................................... 65 6.1.11 Kapalı Anahtarın (m/n) Birden Fazla Şahısça Kontrolü....................................... 65 6.1.12 Kapalı Anahtarın Geçici Olarak Üçüncü Şahıslara Verilmesi.............................. 66 6.1.13 Kapalı Aanahtarın Yedeklenmesi ......................................................................... 67 6.1.14 Kapalı Anahtarların Arşivlenmesi ........................................................................ 67 6.1.15 Kapalı Anahtarların Şifreleme Modülüne Girilmesi............................................. 67 6.1.16 Kapalı Anahtarları Etkinleştirme Yöntemleri....................................................... 67 6.1.16.1 Son Kullanıcı Abone Kapalı Anahtarları...................................................... 67 6.1.16.1.1 Sınıf 1 Sertifikalar..................................................................................... 68 6.1.16.1.2 Sınıf 2 Sertifikalar..................................................................................... 68 6.1.16.1.3 İdareci Sertifikaları Haricindeki Sınıf 3 Sertifikalar................................. 68 6.1.16.2 İdarecilerin Kapalı anahtarları ...................................................................... 69 6.1.16.2.1 İdareciler ................................................................................................... 69 6.1.16.2.2 Bir Şifreleme Modülü (Otomatik Yönetimli veya Managed PKI Key Manager Servisli) kullanan Managed PKI İdarecileri .................................................. 69 6.1.16.3 e-Güven’in Kapalı anahtarları...................................................................... 69 6.1.17 Kapalı Anahtarın Etkinliğini Kaldırma Yöntemi.................................................. 70 6.1.18 Kapalı Anahtar İmha Yöntemi.............................................................................. 70 6.2 Anahtar Çifti Yönetiminin Diğer Yönleri.................................................................... 70 6.2.1 Açık Anahtarın Arşivlenmesi .............................................................................. 70 6.2.2 Açık ve Kapalı Anahtarların Kullanım Süreleri ................................................... 70 6.3 Aktivasyon Verileri....................................................................................................... 72 6.3.1 Aktivasyon Verilerinin Yaratılması ve Kurulması ............................................... 72 6.3.2 Aktivasyon Verilerinin Korunması....................................................................... 72 - vii - 6.3.3 Aktivasyon Verilerinin Diğer Yönleri .................................................................. 73 6.4 Bilgisayar Güvenlik Kontrolleri ................................................................................... 73 6.4.1 Özel Bilgisayar Güvenliği Teknik Şartları ........................................................... 73 6.5 Geçerlilik Süresi İçindeki Teknik Kontroller ............................................................... 73 6.5.1 Sistem Geliştirme Kontrolleri ............................................................................... 73 6.5.2 Güvenlik Yönetim Kontrolleri.............................................................................. 74 6.5.3 Geçerlilik Süresi İçindeki Güvenlik Derecelendirmeleri...................................... 74 6.6 Ağ Güvenlik Kontrolleri ............................................................................................... 74 6.7 Şifreleme Modülü Mühendislik Kontrolleri ................................................................. 74 7. Sertifika ve SİL (CRL) Profili 74 7.1 Sertifika Profili.............................................................................................................. 74 7.1.1 Versiyon Numarası/Numaraları ............................................................................ 75 7.1.2 Sertifika Ekleri ...................................................................................................... 75 7.1.2.1 Kod Kullanımı .................................................................................................. 75 7.1.2.2 Sertifika Politikaları Eki ................................................................................... 75 7.1.2.3 Sertifika Konusu Alternatif İsimleri ................................................................. 75 7.1.2.4 Temel Sınırlamalar............................................................................................ 76 7.1.2.5 Uzatılmış Anahtar Kullanımı (Extended Key Usage) ...................................... 76 7.1.2.6 SİL Dağıtım Noktaları ...................................................................................... 77 7.1.2.7 Otorite Anahtarı Tanımlayıcı ( Authority Key İdentifier) ................................ 77 7.1.2.8 Sertifika Süjesi Anahtarı Tanımlayıcı (Algorithm Object Identifier)............... 77 7.1.3 Algoritma Nesnesi Tanımlayıcıları....................................................................... 77 7.1.4 İsim Formları ........................................................................................................ 78 7.1.5 İsim Sınırlamaları.................................................................................................. 78 7.1.6 Sertifika Politikası Nesnesi Tanımlayıcı............................................................... 78 7.1.7 Politika Sınırlamaları Ekinin Kullanımı ............................................................... 78 7.1.8 Politika Niteleyiciler için Yazımsal ve Anlamsal Özellikler................................ 78 7.1.9 Kritik Sertifika Politika Eki için Anlamsal İşlem Özellikleri............................... 78 7.2 SİL Profili ..................................................................................................................... 78 7.2.1 Versiyon Numarası/Numaraları ............................................................................ 79 7.2.2 SİL ve SİL Girdi Ekleri......................................................................................... 79 8. Spesifikasyon Yönetimi 79 8.1 Spesifikasyon Değişikliği Prosedürleri......................................................................... 79 8.1.1 İhbarda Bulunulmadan Değiştirilebilecek Maddeler ............................................ 79 8.1.2 İhbarda Bulunarak Değiştirilebilecek Maddeler................................................... 79 8.1.2.1 Maddelerin Listesi ............................................................................................ 80 8.1.2.2 İhbar Mekanizması............................................................................................ 80 8.1.2.3 Açıklama Süresi ................................................................................................ 80 8.1.2.4 Açıklama İşleme Mekanizması......................................................................... 80 8.1.3 Sertifika Politikası OID veya SUH İşaretinde Değişiklik Gerektiren Değişiklikler 80 8.2 Yayın ve İhbar Politikaları............................................................................................ 81 8.2.1 SUH’da Yayınlanmayan Maddeler....................................................................... 81 8.2.2 SP’nin Dağıtımı .................................................................................................... 81 8.3 SUH Onay Prosedürleri ................................................................................................ 81 Kısaltmalar ve Tanımlar 81 - viii - Kısaltmalar Tablosu .................................................................................................................. 81 Tanımlar.................................................................................................................................... 82 - ix - 1. Giriş Bu doküman e-Güven Sertifika Uygulama Hükümleridir (“SUH”) ve Not: Bu SUH’da baş VeriSign’ın Sertifika Uygulama Hükümleri temel alınarak harfleri büyük yazılan terimler, özel anlamları hazırlanmıştır (Bkz. https://www.verisign.com/cps).1 Bu doküman, olan, tanımı yapılmış e-Güven’e bağlı olan sertifika otoritelerinin (“SO’lar”), sertifikaların, terimlerdir. Tanımların VeriSign Trust Network Sertifika Politikalarına (“SP”) göre listesini Bölüm 9’da düzenlenmesi, yönetilmesi, iptal edilmesi ve yenilenmesi de dahil bulabilirsiniz. olmak ve fakat bunlarla sınırlı olmamak üzere sertifikalandırma hizmetlerinin sunumunda kullandığı uygulamaları açıklar. VeriSign, Inc. (“VeriSign”), web siteleri, ticari kuruluşlar, kurumlar, elektronik ticaret servis sağlayıcıları ve bireyler için önde gelen güvenilen altyapı hizmetleri sağlayıcısıdır. Tanımlanan alt yapı hizmetleri, şirketin alan adı, dijital sertifikası ve ödeme hizmetleri, güvenli e-ticaret ve haberleşme hizmetlerini yürütmek için çevrim içi faaliyetlerin gerektirdiği kritik web kimliği, kimlik kontrolü ve işlem altyapısını temin eder. SP, hem kablolu, hem de kablosuz uygulamalar için dijital sertifikalar (“Sertifikalar”) sağlayan küresel açık anahtar altyapısı olan VeriSign Trust NetworkSM (“VTN”)’yi tarif eder. VTN, haberleşme ve bilgi güvenliğinde farklı ihtiyaçları bulunan büyük, herkese açık ve geniş dağılım gösteren bir kullanıcı grubu içerir. VeriSign, tüm dünyada, Elektronik Bilgi Güvenliği A.Ş.’nin de dahil olduğu (“e-Güven”) ve küresel işbirliği yaptığı ortakların (“Küresel Ortaklar”) oluşturduğu ağ ile birlikte VTN içinde yer alan servis sağlayıcılardan biridir. SP, VTN’yi düzenleyen politikanın ana ilkesidir. SP, VTN içinde dijital sertifikaların onaylanması, düzenlenmesi, yönetilmesi, kullanılması, iptal edilmesi, yenilenmesi ve tüm bunların yanı sıra ilgili güvenli servislerinin sağlanması için ticari, hukuki ve teknik şartları belirler. “VTN Standartları” olarak adlandırılan bu şartlar VTN’nin güvenliğini ve bütünlüğünü korur, bütün VTN katılımcılarına uygulanır ve dolayısıyla tüm VTN’de eşdüzeyde güveni garanti eder. SP’de, VTN ve VTN Standartlarıyla ilgili ayrıntılı bilgi bulunabilir.2 VeriSign ve her bir “Küresel Ortak”, VTN’nin bir kısmı üzerinde yetkilidir. VTN’nin VeriSign veya e-Güven tarafından kontrol edilen kısmına VTN’nin “Altalanı” denir. Bir “Küresel Ortağın” altalanı, kendi kontrolündeki VTN bölümüdür. e-Güven’in VTN içindeki alt alanı, Müşteriler, Kurumsal SO’lar, Kayıt Otoriteleri, Sertifika Kullanıcıları, ve İtimat Eden Taraflar gibi sujelerdir. e-Güven, VeriSign ve her bir “Küresel Ortak”, , VTN içindeki kendi Altalanını düzenleyen bir SUH’a sahiptir. SP, VTN katılımcılarının uyması gereken şartları belirtmekle birlikte, bu SUH, 1 SUH bölümlerine dahili çapraz başvurular (yani, “SUH§” formunda) bu dokümanın bölümlerine yapılan atıflardır. “SUH” terimine yapılan diğer atıflar, bu dokümanı veya VTN Bağlıları gibi başka şahısların SUH’lerini içerebilecek bir sertifikalandırma uygulaması açıklamasına atıflardır. Bkz. SUH § 9 (Tanımlar). 2 CP, https://www.verisign.com/CP sitesindeki VeriSign Veri Bankasında elektronik formda yayınlanır. VeriSign, ayrıca, CP-requests@verisign.com’a gönderilen talep üzerine SP’yi Adobe Acrobat pdf veya Word formatında kullanıma sunar. SP, aşağıdaki adrese talepte bulunularak VeriSign Trust Network Politika Yönetimi Otoritesinden (“PMA”) basılı formda temin edilebilir: VeriSign, Inc., 487 East Middlefield Road, Mountain View, CA 94043 USA, Attn: Practices Development – CP. - 1 - VTN’nin e-Güven Altalanında (Türkiye’de), bu şartları nasıl karşıladığını tarif eder. Daha açık bir ifade ile , bu SUH, VTN’nin e-Güven alt alanında aşağıdaki faaliyetler için SP ve onun VTN Standartlarının şartlarına uygun olarak yaptığı uygulamaları açıklar3: • • 1.1 VTN’yi destekleyen ana altyapının güvenli yönetimi. VTN Sertifikalarının düzenlenmesi, yönetilmesi, iptali ve yenilenmesi. Genel Bu SUH özellikle aşağıdakiler için geçerlidir: • • VeriSign’ın Genel Ana Sertifikalandırma Otoriteleri (PCA’lar), e-Güven AltYapı SO’ları ve VeriSign Trust Network’ü destekleyen e-Güven İdari SO’ları. e-Güven’in Genel SO’ları ve VTN içinde Sertifikalar düzenleyen “e-Güven” ile “Temel Hizmetler Sözleşmesi”4 akdetmiş olan Kurumsal Sertifika Otoritelerinin SO’ları. Daha genel kapsamlı ele alırsak, SUH, VTN’nin e-Güven Altalanındaki VTN servislerinin eGüven Altalanındaki bütün bireyler ve kuruluşlarca (bir bütün halinde, e-Güven Altalanı Katılımcıları) kullanımını düzenler. e-Güven’in kapsamındaki özel SO’lar ve hiyerarşiler bu SUH’nin kapsamı dışındadır. VTN üç Sertifika Sınıfı içerir (Sınıf 1-3) ve SP de bu üç Sınıfın, ortak güvenlik gereksinimlerine sahip üç uygulama sınıfına nasıl karşılık geldiğini açıklar. SP, üç sertifika politikasını tanımlayan (her bir Sınıf için bir politika) ve her bir Sınıf için VTN Standartlarını belirleyen tek dokümandır. e-Güven, VTN’deki Altalanında her üç Sertifika Sınıfını da sunar. Bu SUH, e-Güven’in Altalanındaki her bir Sınıf için SP gereksinimlerini nasıl karşıladığını açıklar. Bu suretle, SUH, tek doküman olarak, her üç Sertifika Sınıfının düzenlenmesi ve yönetimiyle ilgili uygulamaları ve prosedürleri kapsar. (a) e-Güven SUH’sinin ve Diğer Uygulama Dokümanlarının Rolü SP, VTN’nin genel ticari, hukuki ve teknik altyapısını genel olarak tarif eder. Bu SUH, daha sonra, SP’deki VTN Standartlarını e-Güven Altalanı katılımcılarına uygular ve e-Güven’in SP’ye karşılık olarak spesifik uygulamalarını açıklar. Daha spesifik olarak ele alırsak, SUH, başka hususların yanı sıra aşağıdakileri de tarif eder: • • • VTN’nin e-Güven Altalanındaki Sertifika Otoritelerinin, Kayıt Otoritelerinin, Sertifika Kullanıcılarının ve İtimat Eden Tarafların sorumlulukları. e-Güven Altalanında her türlü hizmet anlaşmaları ve İtimat Eden Taraf Anlaşmaları kapsamındaki hukuki konular. e-Güven’in ve e-Güven Altalanı Katılımcılarının yaptığı denetim, ilgili güvenlik ve uygulama incelemeleri. 3 VeriSign SO’lar Küresel Ortakların SO’larına sertifika düzenlemesine rağmen, bir Küresel Ortağın ilgili uygulamalar bu SUH’dan ziyade Bağlı Şahsın SUH’un kapsamındadır. 4 “Elektronik Bilgi Güvenliği A.Ş. Sertifikasyon ve Açık Anahtarlı Alt Yapı Hizmetleri Temel Hizmetler Sözleşmesi” . Bundan böyle işbu doküman içersinde “Temel Hizmetler Sözleşmesi” olarak anılacaktır. - 2 - • • • • • • e-Güven Altalanında her bir Sertifika Sınıfı için yapılan Sertifika Başvurularının kimliğini doğrulamak için kullanılan yöntemler. e-Güven Altalanında Sertifika yaşam döngüsü hizmetleri için operasyon prosedürleri: Sertifika Uygulamaları, düzenleme, kabul, iptal ve yenileme. e-Güven Altalanında kullanılan denetim kaydı, kayıt tutma ve felaketten kurtarma için operasyon güvenliği prosedürleri. e-Güven Altalanı katılımcılarının fiziksel, personel, kod yönetimi ve lojik güvenlik uygulamaları. e-Güven Altalanındaki Sertifika ve Sertifika İptal Listesi içeriği. Düzeltme yöntemleri dahil SUH’nin idaresi. Bununla birlikte, SUH, VTN’nin e-Güven Altalanıyla ilgili doküman setinden sadece bir dokümandır. Diğer dokümanlar şunlardır: • Aşağıdakiler gibi daha ayrıntılı gereksinimleri vererek SP ve SUH’yi tamamlayan yardımcı güvenlik ve operasyon dokümanları: - VTN altyapısını düzenleyen güvenlik ilkelerini belirleyen VeriSign Güvenlik Politikası. e-Güven için personel, fiziksel, telekomünikasyon, lojik ve şifreleme anahtar yönetimi güvenliğiyle ilgili ayrıntılı gereksinimleri tarif eden Güvenlik ve Denetim Gereksinimleri Kılavuzu. e-Güven ile “Temel Hizmetler Sözleşmesi” akdetmiş olan müşteriler için personel, fiziksel, telekomünikasyon, lojistik ve şifreleme anahtar yönetimi güvenliğiyle ilgili ayrıntılı gereksinimleri tarif eden Kurumsal Güvenlik Kılavuzu. Ayrıntılı anahtar yönetimi operasyon gereksinimlerini sunan Anahtar Yaratma Prosedürü Referans Kılavuzu. e-Güven tarafından düzenlenen yardımcı anlaşmalar ise e-Güven’in Müşterilerini, Aboneleri ve İtimat Eden Tarafları bağlar. Anlaşmalar, başka unsurların yanı sıra VTN Standartlarını VTN Katılımcılarına aktarır ayrıca VTN Standartlarını nasıl karşılamaları gerektiğine dair spesifik uygulamaları belirtir. Çoğu durumda, SUH, VTN’nin e-Güven Altalanının güvenliğini tehlikeye sokabilecek VTN Standartlarının uygulandığı spesifik, ayrıntılı uygulamalarla ilgili olarak Tablo 1’de ve işbu SUH içersinde belirtilen yardımcı dokümanlara atıfta bulunur. Tablo 1, herkesin kullanımına açık olsun veya olmasın çeşitli VTN ve e-Güven uygulama dokümanlarını ve bunların yerlerini gösteren bir matristir. Tablo 1’deki listenin geniş kapsamlı olması amaçlanmamıştır. VTN’nin güvenliğini sağlamak için, herkesin kullanımına sunulmamış bazı dokümanların gizli tutulduğu işbu tablo içersinde görülebilir. Dokümanlar VeriSign Trust Network Sertifika Politikaları Durum Kullanıma açık Kullanıma açık olduğu yerler SP § 8.2.2'ye göre e-Güven Veri Bankası. Bkz. https://www.e-guven.com/repository VTN Yardımcı Güvenlik ve Operasyon Dokümanları SBS Güvenlik Politikası Gizli ------------- - 3 - Dokümanlar Güvenlik ve Denetim Şartları Kılavuzu Anahtar Yaratma Prosedürü Referans Kılavuzu Managed PKI5 İdareci Elkitabı Managed PKI Anahtar Yönetimi Servisi İdareci Kılavuzu Kurumsal Güvenlik Kılavuzu Durum Kullanıma açık olduğu yerler Gizli Gizli ------------------------- Kullanıma açık Kullanıma açık Gizli https://www.e-guven.com/enterprise/library/index.html Kullanıma açık Kullanıma açık; SP § 2.6.1'ye göre e-Güven Veri Bankası. Bkz. https://www.e-guven.com/repository SP § 2.6.1'ye göre e-Güven Veri Bankası. Bkz. https://www.e-guven.com/repository https://www.e-guven.com/enterprise/library/index.html ------------- e-Güven'e Özel Dokümanlar e-Güven Sertifika Uygulama Hükümleri e-Güven’in yardımcı anlaşmaları İtimat Eden Tarafl Anlaşmaları Tablo 1 – Uygulama Dokümanlarının Kullanılabilirliği (b) Dijital Sertifikalar ve VTN Hiyerarşisiyle İlgili Önbilgi Bu SUH, okuyucunun Dijital İmzaları, Açık Anahtarlı Altyapı sistemini ve VTN'yi bildiğini ve bu hususlarla ilgili temel nosyona sahip olduğunu varsayar. Okuyucunun bu konularla ilgili nosyonu yok ise, e-Güven okuyucunun VTN'de uygulanan açık anahtar şifrelemesi ve açık anahtar altyapısı hakkında belirli bir düzeyde eğitim almasını tavsiye eder. Genel bilgilere eGüven'in http://www.e-guven.com adresinden ulaşılabilir. Ayrıca, SP'nin Bölüm 1.1(b)'sinde farklı VTN Katılımcılarının görevleri özetlenmiştir. (c) Geçerli Standartlara Uygunluk Bu SUH'de öngörülen uygulamalar, Sertifika Otoriteleri için AICPA/CICA WebTrust Programı, ANS X9.79:2001 PKI Uygulamaları ve Politikası Çerçevesi ve SO'ların operasyonuyla ilgili diğer sektör standartları da dahil genel olarak kabul edilen ve geliştirilmekte olan standartları karşılamaktadır. Bu SUH'nin yapısı, genel olarak, bir Internet standartları kurulu olan Internet Mühendislik Görev Ekibinin (IETF) RFC 2527 numaralı açıklama talebi olarak bilinen Internet X.509 Açık Anahtar Altyapısı Sertifika Politikası ve Sertifika Uygulama Hükümleri Çerçevesi'ne uygundur. RFC 2527 çerçevesi Açık Anahtarlı Alt Yapı (Public Key Infrastructure – PKI) sektöründe standart haline gelmiştir. Bu SUH, e-Güven hizmetlerini kullanan veya kullanmayı düşünen kişiler için politika belirleme ve karşılaştırmalar için RFC 2527 çerçevesine uygun bir yapıda hazırlanmıştır.. e-Güven faaliyet modellerinin karmaşıklığından dolayı başlıkta ve ayrıntılarda küçük değişiklikler gerekli olmasına rağmen, e-Güven, SUH'yi mümkün olduğunca RFC 2527 yapısına uygun hale getirmiştir. e-Güven gelecekte RFC 2527'ye sıkı sıkıya bağlı kalma politikasına 5 “Managed PKI” e-Güven ile “Elektronik Bilgi Güvenliği A.Ş. Sertifikasyon ve Açık Anahtarlı Alt Yapı Hizmetleri Temel Hizmetler Sözleşmesi (Bundan böyle kısaca “Temel Hizmetler Sözleşmesi” olarak anılacaktır) akdetmiş olan taraflara e-Güven tarafından sunulacağı taahhüt edilen hizmetleri tanımlamak amacıyla kullanılmaktadır. - 4 - devam etmeyi düşünmekle birlikte, gerekli olduğu ölçüde, örneğin SUH'nin kalitesini veya eGüven Altalan Katılımcılarına uygunluğunu artırmak için RFC 2527 yapısında değişiklik yapma hakkını saklı tutmaktadır. 1.1.1 Politika Hakkında Genel Bilgi e-Güven, hem kablolu ve kablosuz Internet, hem de politikaları SP'de tarif edilen üç Sertifika Sınıfına karşılık gelen diğer ağlar için üç farklı sertifikalandırma servisi (Sınıf 1-3) sunar. Her bir Sertifika seviyesi veya sınıfı özel işlevsellik ve güvenlik özellikleri sağlar ve belirli bir güven seviyesine karşılık gelir. e-Güven Altalan Katılımcıları (son kullanıcı sertifika sahipleri, Kurumsal Sertifika Otoriteleri) ihtiyaç duydukları Sınıfları seçer. SP'nin işlevlerinden biri üç Sertifika Sınıfını ayrıntılı olarak tarif etmektir.6 Bununla birlikte, bu bölüm, e-Güven'in Altalanında sunduğu Sertifika Sınıflarını da özetler. Sınıf 1 Sertifikalar, e-Güven'in Altalanında en düşük güvence seviyesini sunar. Bunlar, geçerlilik kontrol prosedürlerinin, abonenin özgün isminin SO'ların Altalanında tek ve açık olması ve belirli bir e-posta adresinin bir açık anahtarla bağlantılı olması güvencesine dayandığı bireysel Sertifikalardır. Bunlar, kimliğin kanıtlanmasına gerek olmayan düşük değerli veya ticari olmayan işlemler için şifrelemeye ve erişim kontrolüne uygundur. Sınıf 2 Sertifikalar, diğer iki Sınıfa nazaran orta düzeyde güvence sunar. Bunlar da bireysel Sertifikalardır. Sınıf 2 geçerlilik kontrol prosedürleri, Sınıf 1 geçerlilik kontrol prosedürlerine ilave olarak, Sertifika başvuru sahibinin verdiği bilgilerin faaliyet kayıtları veya veri tabanları ya da e-Güven'in onayladığı kimlik kanıtlama servisinin veri tabanıyla karşılaştırılmasına dayanan prosedürler içerirler. Bunlar, orta değerli işlemlerde kimlik kanıtı olarak kullanılmalarının yanı sıra şifreleme ve erişim kontrolü için kullanılabilir. Sınıf 3 Sertifikalar e-Güven'in Altalanında en yüksek düzeyde güvence sağlar. Sınıf 3 Sertifikalar bireylere, kurumlara SO ve KO İdarecilerine verilir. Sınıf 3 bireysel Sertifikalar, yüksek değerli işlemlerde kimlik kanıtı olmalarının yanı sıra şifreleme ve erişim kontrolü için kullanılabilir. Sınıf 3 bireysel Sertifikalar, en azından iyi bilinen bir resmi kimlik veya başka bir kimlik belgesi kullanarak abonenin kimliğini doğrulayan bir yetkili şahsın huzurunda abonenin şahsen (fiziksel olarak) bulunmasına dayanarak abonenin kimliğiyle ilgili güvence verirler. Diğer Sınıf 3 kurumsal Sertifikalar, kimlik kontrolü, mesaj, yazılım ve içerik bütünlüğü ile gizlilik maksatlı şifreleme için cihazlara verilir. Sınıf 3 kurumsal Sertifikalar, kurumun gerçekte varolduğunun, kurumun Sertifika Başvurusuna izin verdiğinin ve kurum adına Sertifika Başvurusunu yapan kişinin bunu yapmaya yetkili olduğunun doğrulanması şartıyla kurumun kimliği konusunda güvence verir. Sunucular için verilen Sınıf 3 kurumsal Sertifikalar (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri), kurumların, Sertifika Başvurusunda listelenen alan adını kullanmaya yetkili olduğuna dair güvence de verir. Sınıf 3 Kurumsal ASB Sertifikaları (Bkz. SP § 1.1.2.2.1), Sertifikayı bir kurum adına kullanan bir yetkili temsilcinin kullanımı için kuruma sunulur. Sınıf 3 Kurumsal ASB Sertifikaları, kurumun kapalı anahtarını kontrolü altında tutan kişinin Sertifikadaki açık anahtara karşılık 6 Bkz. SP § 1.1.1. - 5 - gelen kapalı anahtarı kullanarak girilen işlemlerde kurum adına hareket etmeye yetkili olduğuna dair güvence verir. Aşağıdaki Tablo 2'de e-Güven tarafından SP'ye uygun olarak sunulan Sertifika Sınıfları özetlenir. Bu SUH'de özetlenen, SP'deki Sertifika Sınıflarına ait özellikler her bir Sınıf için verilen minimum güvence seviyesini belirler. Örneğin, herhangi bir Sınıf 1 Sertifika, kimliğin kanıtlanmasına gerek olmayan, yani düşük güvence seviyesi gerektiren uygulamalarda kullanılan dijital imzalar, şifreleme ve erişim kontrolü için de kullanılabilir. Bununla birlikte, sözleşmeyle veya belirli ortamlarda (örneğin, bir şirket içi ortam), e-Güven Altalanı Katılımcılarının SP'de belirtilenlerden daha güçlü geçerlilik kontrol prosedürlerini kullanmalarına veya SUH §§ 1.1.1, 1.3.4.1'de tarif edilenlerden daha yüksek güvenlikli uygulamalara ait Sertifikalar kullanmalarına izin verilir. Ancak, böyle bir kullanım bazı şirketlerle sınırlıdır ve SUH §§ 2.2.1.2, 2.2.2.2'ye tâbidir ve bu kuruluşlar bu tip bir kullanımın yaratacağı zararlardan veya sebep olacağı yükümlülüklerin yerine getirilmesinden tek başına sorumlu olur. Sınıf Düzenlenen şahıs Sertifikaların Kullanılabileceği Servisler7 Sertifika Başvuru Sahiplerinin Kimliğinin Doğrulanması (SUH §§ 3.1.8.1, 3.1.9) Sınıf Bireyler 1 Perakende Özgün ismin SO'ların Altalanında tek ve açık olmasını sağlamak için isim ve e-posta adresi taraması. Sınıf Bireyler 2 Perakende ve Kimlik Kontrol Servisi Bürosu Sınıf 1 Perakende servisle aynı; ilave olarak, bir veya daha fazla üçüncü şahıs veri tabanları veya karşılaştırılabilir kaynaklarla otomatik veya İdareci tarafından başlatılan kayıt bilgisi kontrolü. Sınıf 1 Perakende servisle aynı; ilave olarak, Sertifika Başvuru Sahibinin kimliğini veya Managed PKI Müşterisine bağlı olduğunu doğrulamak için şirket içi dokümanların veya veri tabanlarının kontrolü (örneğin, insan kaynakları dokümanları). Managed PKI 7 Kullanıcıların Yaptığı veya Tasarladığı Uygulamalar (SUH § 1.3.4.1) Kimliğin kanıtlanmasına gerek olmayan gizlilik şifrelemesi, dijital imzalar ve web esaslı erişim kontrolüyle e-posta güvenliğinin belirli bir düzeyde artırılması. Ticari olmayan web taraması ve eposta gibi, diğer Sınıflara nazaran düşük güvence seviyesi gerektiren uygulamalar. Gizlilik şifrelemesi, dijital imzalar ve web esaslı erişim kontrolü yoluyla e-posta güvenliğinin artırılması. Bazı bireysel ve şirket içi ve şirketler arası e-posta, çevrim içi abonelikler, muhasebe uygulamaları ve şifre değiştirme gibi diğer Sınıflara nazaran orta güvence seviyesi gerektiren uygulamalar (Yukarıda bahsi geçen işlemler için kimlik kanıtı olarak kullanım dahil). Perakende Sertifikalar, web sitesinden başvuru yapan bireyler ve kurumlar için, SO olarak görev yapan e-Güven tarafından düzenlenen Sertifikalardır. Managed PKI Sertifikaları, belirli miktarda Sertifika düzenlemek için e-Güven ile bir Managed PKI Anlaşması yapan bir Managed PKI Müşterisince onaylanmış bir Sertifika Başvurusuna dayanır (Bkz. SSP § 1.1.2.1.1). Perakende ve Managed PKI Sertifikalarına ilave olarak, SO ve KO İdarecileri için ve Kimlik Kontrol Servisi Bürosu vasıtasıyla VTN Sertifikaları düzenlenir. Kimlik Kontrol Servisi Bürosu hakkında daha fazla bilgi için Bkz. SSP § 1.1.2.2.1. İdareci Sertifikaları, SO ve KO İdarecilerine, SO ve KO adına idari görevleri yerine getirmelerine izin vermek için düzenlenir. - 6 - Sınıf Düzenlenen şahıs Sınıf Bireyler 3 Kurumlar Sertifikaların Kullanılabileceği Servisler7 Sertifika Başvuru Sahiplerinin Kimliğinin Doğrulanması (SUH §§ 3.1.8.1, 3.1.9) Perakende Sınıf 1 Perakende servisle aynı; ilave olarak, kişisel varlık ve iki veya daha fazla kimlik belgesinin kontrolü. İdareciler İdareci tipine bağlı olarak özel doğrulama prosedürleri. İdarecinin ve İdareciden yararlanan kurumun kimliği doğrulanır. Ayrıca Bkz. SUH § 5.2.3. Üçüncü şahıs veri tabanının veya kurumun ismini kullanmak hakkını kanıtlayan başka dokümanların kontrolü. Sertifika Başvurusundaki bilgileri doğrulamak ve Sertifika Başvurusunun kimlik kontrolünü yapmak için telefonla (veya karşılaştırılabilir bir prosedürle) geçerlilik kontrolü. Web sunucu Sertifikalarının verilmesi durumunda Sertifika Başvuru Sahibinin Sertifikada belirtilecek alan adını kullanma hakkına sahip olduğunun doğrulanması. Üçüncü şahıs veri tabanı veya kurumun varlığını gösteren başka dokümanların kontrolü. Sertifika Başvurusundaki bilgileri doğrulamak ve Sertifika Başvurusunun kimlik kontrolünü yapmak için telefonla (veya karşılaştırılabilir bir prosedürle) geçerlilik kontrolü. Web sunucu Sertifikaları durumunda Sertifika Başvuru Sahibinin Sertifikada belirtilecek alan adını kullanma hakkına sahip olduğunun doğrulanması. Sınıf 3 kurumsal Perakende serviste olduğu gibi SSL için Managed PKI Müşterisinin veya SSL Premium Edition için Managed PKI Müşterisinin geçerliliğinin kontrolü ve ayrıca Managed PKI İdarecisinin geçerliliğinin kontrolü. Perakende Kimlik Kontrol Servisi Bürosu Managed PKI Tablo 2 - Güveni Etkileyen Sertifika Özellikleri - 7 - Kullanıcıların Yaptığı veya Tasarladığı Uygulamalar (SUH § 1.3.4.1) Gizlilik şifrelemesi, kimlik kontrolü için dijital imzalar ve web esaslı erişim kontrolü yoluyla e-posta güvenliğinin artırılması. diğer Sınıflara nazaran yüksek güvence seviyesi gerektiren uygulamalar (yüksek değerli işlemler için kimlik kanıtı olarak kullanım dahil). İdarecinin görevleri. Sunucu kimlik kontrolü, gizlilik şifrelemesi ve (başka sunucularla iletişimde bulunulurken) istemci kimlik kontrolü (Güvenli Sunucu Kimliği, Global Sunucu Kimliği ve Kablosuz Nakil Seviyesi Güvenlik Sertifikaları); kimlik kontrolü, mesaj bütünlüğü; yazılımların ve diğer içeriklerin kimlik kontrolü ve bütünlüğü. Bir kurum adına gönderilen epostanın güvenliğinin, gizlilik şifrelemesi, kimlik kontrolü için dijital imzalar ve web esaslı erişim kontrolü yoluyla artırılması. Bir B2B şirket dışı ağa erişim sağlamak ya da bir B2B santralde yüksek değerli işlemler yapmak gibi diğer Sınıflara nazaran yüksek güvence seviyesi gerektiren uygulamalar. Sunucu kimlik kontrolü, gizlilik şifrelemesi ve (uygun şekilde etkinleştirilmiş başka sunucularla iletişimde bulunulurken) istemci kimlik kontrolü (Güvenli Sunucu Kimliği, Global Sunucu Kimliği). 1.1.2 VeriSign’ın VTN Servisleri Sunumu VTN, Sertifikaların düzenlenmesini, yönetimini ve kullanımını desteklemek için SP § 1.1.2’de tam olarak tarif edilen bir dizi servis sunar. Bu bölüm, e-Güven’in SP § 1.1.2’ye göre hangi VTN servislerini sunduğunu ele alır. Bu programlardan herhangi biri hakkında ayrıntılı bilgi eGüven’in http://www.e-guven.com adresindeki web sitesine başvurun. Bu servislerin tümü eGüven’le özel anlaşmalara tâbidir. Tablo 3, VTN servislerinin sunumunu özetler. VTN Servisi SP’de Açıklama e-Güven’in Sunumu Sertifika Dağıtım Servisleri VeriSign Managed PKI® SP § 1.1.2.1.1 Managed PKI Managed PKI Lite SSL için Managed PKI SSL Premium Edition için Managed PKI Web Ana Sistem Programı SP § 1.1.2.1.4 Web Ana Sistem servisleri Kimlik Kontrolü Servisleri SP § 1.1.2.2.1 VeriSign Dijital Onay Servisi SP § 1.1.2.2.2 Dış kaynaktan temin edilen kimlik kontrolü servisleri Kimlik Kontrol Servisi Bürosu e-Güven Dijital Onay Servisleri Katma Değerli Hizmetler Özel Sertifika Tipleri e-Güven Key Manager Servislerinin sunduğu VeriSign Managed PKI e-Güven’in sunduğu VeriSign Roaming Servisi SP § 1.1.2.3.2 SP § 1.1.2.3.3 Managed PKI Key Manager çift anahtar sistemler Managed PKI Key Manager tek anahtarlı sistemler Kuruluşun Kurumsal Roaming Sunucusuna sahip olduğu Roaming Servisi Güvenilen bir dördüncü şahsın Kurumsal Roaming Sunucusuna sahip olduğu Roaming Servisi Tablo 3 – e-Güven’in VTN Servisleri Sunumu 1.1.2.1 Sertifika Dağıtım Servisleri 1.1.2.1.1 e-Güven’in Sunduğu VeriSign Managed PKI® e-Güven’in sunduğu VeriSign Managed PKI, e-Güven’in kurumsal müşterilerinin, çalışanları, ortakları, tedarikçileri ve müşterileri gibi bireylere; ve bunun yanı sıra sunucular, rooterlar ve güvenlik duvarları gibi cihazlara Sertifikalar verdiği tam entegre bir dış kaynaklı Açık Anahtarlı Alt Yapı yönetim hizmetidir. e-Güven tarafından sunulan VeriSign Managed PKI servisi SP § 1.1.2.1.1’de ayrıntılı olarak tarif edilmiştir. e-Güven’in Alt alanında, Managed PKI güvenlik gereksinimleri Kurumsal Güvenlik Kılavuzunda belirtilmiştir. Managed PKI dış kaynaklı temin edilen bir hizmettir. e-Güven’in sunduğu VeriSign Managed PKI servisini alan e-Güven Müşterileri (“Managed PKI Müşterileri”) üç kategoriye ayrılır. - 8 - Birincisi, bazı Managed PKI Müşterileri (“Managed PKI Müşterileri”), VTN’nin e-Güven Altalanında bir Sertifika Otoritesi olarak sertifika müracaatçılarına Sertifikaları verir. Managed PKI Müşterileri, Kayıt Otoritesi (RA) “ön uç” işlevlerini yerine getirir: Sertifika Başvurularını onaylamak veya reddetmek ve Managed PKI işlevlerini kullanarak Sertifikaları iptal etmek veya yenilemek. Bununla birlikte KO işlevleri SO işlevlerinin bir alt kümesidir ve RA işlevleri Managed PKI Müşterilerinin faaliyetlerinde daha yaygın olarak kullanılır. Managed PKI Müşterisi, aynı zamanda, bütün “arka uç” Sertifika düzenleme, yönetme, iptal ve yenileme işlevlerini e-Güven’den temin ederek VeriSign Trust Network’ün güvenli PKI omurgasını güçlendirebilir. İkinci Managed PKI Müşterileri kategorisi (“Managed PKI Lite Müşterileri”), tipik Managed PKI Müşterilerinden daha küçük kuruluşlar ve kurumlar için güvenlik sağlayan Managed PKI Lite kullanır. Managed PKI Lite Müşterileri, e-Güven’in belirli bir Sertifika sınıfındaki Managed PKI Lite Müşterileri arasında paylaşılan bir e-Güven SO’suyla bağlantılı Kayıt Otoriteleri olurlar. Managed PKI Lite Müşterileri, Managed PKI Müşterileri gibi, Managed PKI işlevlerini kullanarak Sertifika Başvurularını onaylar veya reddeder, Sertifikaların iptalini veya yenilenmesini talep eder. Bu kategoride de Managed PKI Müşterileri gibi, e-Güven, bütün arka uç Sertifika düzenleme, yönetme, iptal ve yenileme işlevlerini yerine getirir. Son Managed PKI Müşterileri kategorileri, Güvenli Sunucu Kimlikleri olarak bilinen sunucu Sertifikaları (“SSL için Managed PKI Müşterileri”) ve Global Sunucu Kimlikleri olarak bilinen sunucu Sertifikaları (“SSL Premium Edition için Managed PKI Müşterileri”) için yapılan başvuruları onaylar. (Güvenli Sunucu Kimlikleri ile Global Sunucu Kimlikleri arasındaki farklılıklar hakkında bilgi için Bkz. SUH § 1.3.4.1.3.2.) SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterileri, bütün VTN (e-Güven’inki dahil) SSL için Managed PKI Müşterileri veya SSL Premium Edition için Managed PKI Müşterileri arasında paylaşılan bir e-Güven CA’sıyla bağlantılı Kayıt Otoriteleri olurlar. SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterileri, diğer Managed PKI Müşterileri gibi Managed PKI işlevlerini kullanarak Sertifika Başvurularını onaylar veya reddeder ve Sertifikaların iptalini veya yenilenmesini talep eder. Ayrıca, e-Güven, diğer Managed PKI Sertifikalarında olduğu gibi, bütün arka uç Sertifika düzenleme, yönetme, iptal ve yenileme işlevlerini yerine getirir. e-Güven’in Managed PKI Müşterileri ve Managed PKI Lite Müşterilerinin, aşağıda belirtilenler haricinde kendi müşterileri ve çalışanları dışındaki kişilerin Sertifika Başvurularını onaylamalarına izin verilmemiştir. Managed PKI Müşterileri, genel kullanıma açık VTN Sertifikaları için yapılan başvuruları onaylayamaz. Ancak, Kimlik Kontrol Servisi Bürosu, Managed PKI Müşterileri ve Managed PKI Lite Müşterilerinin ticari ilişkide olmadığı şahıslar ile kurum temsilcileri için Sertifika almak isteyen kurumlar için özel bir çözüm sunar. Bkz. SUH § 1.1.2.2.1. Bir SSL için Managed PKI Müşterisi veya SSL Premium Edition için Managed PKI Müşterisi sadece kendi kurumu içindeki sunucular için yapılan Sertifika Başvurularını onaylayabilir. SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterilerinin kendi - 9 - kurumları dışındaki sunucular için yapılan Sınıf 3 Sertifika Başvurularını onaylamasına izin verilmemiştir ve genel kullanıma açık Sertifikalar düzenleyemezler. 1.1.2.1.2 VeriSign Küresel Ortak Programı e-Güven, Siemens Business Services Sistem Hizmetleri A.Ş. (SBS) ile yaptığı anlaşma gereğince SP § 1.1.2.1.2’de tarif edilen “İşlem Merkezi”nin yürütümünü üstlenmektedir. Bu durum, eGüven’in SBS’in sorumluluğunda, Sertifika düzenlemede kullanılan kapalı anahtarlara sahip şifreleme modüllerini, SO sistemlerini ve başka elemanları içeren dünya standartlarında güvenli bir tesis binasını SBS’e kurdurduğunu gösterir. e-Güven VTN’de bir SO görevi görür ve Sertifika düzenleme, yönetme, iptal ve yenileme gibi Sertifika yaşam döngüsüne ait tüm hizmetleri yerine getirir. Ayrıca, kendi Managed PKI Müşterileri ya da e-Güven’in kontrol ve denetimindeki Servis Merkezlerinin Managed PKI Müşterileri adına sertifika yaşam döngüsü hizmetlerini sunar. e-Güven, ayrıca, SP § 1.1.2.1.2’de tarif edilen her üç faaliyet alanında Sertifika verir: Tüketici (Sınıf 1 ve 2 Bireysel Sertifikalar), Web Sitesi (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri) ve Kurumsal (Managed PKI servisleri sağlar). Küresel Ortakların VTN’den bağımsız verdiği hizmetlerle ilgili uygulamalar ve VeriSign’ın Küresel Ortaklarına verdiği hizmetler bu SUH’nin kapsamı dışındadır. 1.1.2.1.3 Web Host Programı8 e-Güven’in SP § 1.1.2.1.4’de ayrıntılı olarak tarif edilen Web Host Programı,müşterilerinin web siteleri adına Perakende Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri için Sertifika yaşam döngüsü işlemlerini yönetmek amacıyla müşterilerinin web siteleri için bir Web Host olarak hareket etmelerine izin verir. Web Host Programı, Web Host Sistemlerinin, Web Host müşterileri olan son kullanıcı aboneler adına Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri kaydı yapmasına izin verir. Web Host Sistemleri kayıt işlemini desteklemesine rağmen (Bkz. SP § 4.1.1) geçerlilik kontrolü işlevlerini yerine getirmez; bu geçerlilik kontrolü işlevleri e-Güven tarafından yerine getirilir. Ayrıca, gerçek aboneler olarak Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri alanlar Web Host Sistemi müşterileridir ve uygun Abonelik Anlaşması altında abonenin sorumluluklarının yerine getirilmesinden bütünüyle sorumludurlar. Web Host Sistemleri, müşterilerine sorumlulukları hakkında bilgi vermek için ilgili Abonelik Anlaşmalarının temininden sorumludur. 1.1.2.2 Katma Değerli Sertifikalandırma Hizmetleri 1.1.2.2.1 Kimlik Kontrolü Servisleri e-Güven (bu Servis şu anda e-Güven tarafından sunulmamakta; bu servisin sunulmasıyla ilgili alt yapı çalışmaları devam etmektedir), kurumlara, SP § 1.1.2.2.1’de ayrıntılı olarak tarif edilen dış kaynaktan temin edilen kimlik kontrolü hizmetlerini ve Kimlik Kontrol Servisi Bürosu hizmetlerini sunar. e-Güven, dış kaynaktan temin edilen kimlik kontrolü servisleriyle Müşterileri adına Sertifika Başvuru Sahiplerinin kimliğini doğrular. Bu Managed PKI Müşterileri, Abone 8 Bu servis şu anda hazırlık aşamasında olup, işbu SUH’un yürürlükte olduğu dönem içersinde e-Güven tarafından sunulmamaktadır. - 10 - kullanıcı tabanının tamamının veya herhangi bir kısmının kimlik kontrolünü dış kaynaktan temin etmeyi isteyebilir. Kimlik kontrol servislerinin dış kaynaktan temini e-Güven ile anlaşmaya tâbidir. e-Güven, Managed PKI Müşterisi için belirli kimlik kontrol faaliyetlerini yürüttüğü ölçüde, Managed PKI Müşterisinin bu SUH'deki sorumluluklarını onun adına yerine getirmekten sorumlu olur. Ancak, bu sorumlulukların e- Güven tarafından yerine getirilmesi halinde dahi, Managed PKI Müşterisi, kullanıcı veritabanındaki bilgileri münhasıran kendi tarafında barındırması veya iptal taleplerinin kendisi tarafından başlatılması gibi kimlik kontrol sorumluluklarını elinde tuttuğu ölçüde SUH'de belirtilen sorumluluklarından ber’i tutulmaz. e-Güven Kimlik Kontrol Servisi Bürosu programı, e-Güven’in bir kurum adına son kullanıcı abonelerinin kimliğini doğrulamasına olanak sağlar. e-Güven bu servisi bir B2B veya B2C şirket dışı ağın operatörlerine ya da bu servisler için e-Güven'le uygun anlaşma yapacak sujelere (ASB Müşterileri) sunar. e-Güven, Kimlik Kontrol Servisi Bürosu programı altında Sınıf 2 bireysel Sertifikaları ("Sınıf 2 Bireysel ASB Sertifikaları") ve ASB Müşterisiyle karşılıklı ilişki içinde olan kurumların yetkili temsilcilerinin kullandığı Sınıf 3 kurumsal Sertifikaları ("Sınıf 3 Kurumsal ASB Sertifikaları") ve buna bağlı hizmetleri sunar. ASB Müşterisi bir SO olmak için e-Güven'le anlaşma yapar. Bu SO, ASB Müşterisinin CA olduğunu gösteren, aynı onay işaretine sahip Sertifikalar düzenler. Ancak, ASB Müşterisi çoğu SO işlevini (hem ön uç, hem de arka uç) e-Güven'den temin eder. e-Güven doğrudan kendisine iletilen iptal taleplerini işleme alabilir, ancak ASB Müşterisi CA'sının SP § 4.4.1.1'e göre düzenlediği Sertifikaların iptalini başlatma sorumluluğu ASB Müşterisinin bizzat yerine getirdiği SO işlevlerinden biridir. ASB Müşterisinin iptal başlatma sorumluluğu hariç olmak üzere, eGüven bütün kimlik doğrulama ve Sertifika yaşam döngüsü hizmetlerini ASB Müşterisi adına yerine getirir. e-Güven, Kimlik Kontrol Servisi Bürosu servislerini yerine getirirken ASB Müşterisi için Kayıt Otoritesi (KO) olarak görev yapar. Zaman zaman e-Güven kimlik kontrol servislerini ve Kimlik Kontrol Servisi Bürosu hizmetlerini dış kaynaktan temin etmek için sözleşmeler yapabilir. e-Güven bu hizmetlerin dış kaynaklı temini için yaptığı sözleşmelerde, sözleşmenin karşı tarafının bu SUH altında bu servisleri temin etmek için e-Güven’in karşılaması gereken bütün güvenlik şartlarını ve diğer şartları karşılamasını ister. 1.1.2.2.2 e-Güven’in Sunduğu VeriSign Dijital Onay Servisi9 e-Güven SP § 1.1.2.2.2'de belirtilen “e-Güven’in tarafından sağlanan VeriSign Dijital Onay Servisi”ni sunar. e-Güven’in bahsi geçen servisi sunumu, e-Güven ile bu servisten yararlanmanın kural ve şartlarını tespit eden sözleşmenin koşullarına tâbidir. 9 Bu servis şu anda hazırlık aşamasında olup, işbu SUH’un yürürlükte olduğu dönem içersinde e-Güven tarafından sunulmamaktadır. - 11 - 1.1.2.3 Özel Sertifika Tipleri 1.1.2.3.1 e-Güven’in Sunduğu VeriSign Managed PKI Key Manager Servisleri Managed PKI Key Manager yazılımı, Managed PKI Müşterilerinin, Sertifika Başvurularını onayladıkları Aboneler adına anahtar çiftleri yaratmalarına izin verir. Ayrıca bu yazılım, Managed PKI Müşterilerinin Abonelere kapalı anahtarlarını güvenli biçimde iletmelerini, Abonelerin kapalı anahtarlarının Managed PKI Müşterileri tarafından yedekleme amaçlı kopyasını güvenli biçimde saklamalarını ve gerektiğinde kapalı anahtarları kurtarmalarını sağlar. Managed PKI Key Manager hem tekli, hem de ikili anahtar çifti sistemini işlevsel kılmayı sağlar. Tekli anahtar çifti sistemleri bir son kullanıcı Abonenin hem dijital imza, hem de şifreleme işlevleri için kullandığı anahtarları yaratır. Aboneye her iki işlev için bir Sertifika verilir. İkili anahtar çifti sistemleri, tek anahtar çifti sisteminin aksine, Managed PKI Key Manager yazılımı son kullanıcı Abonenin şifreleme için kullandığı bir anahtar çifti yaratır. Bununla birlikte, abone, dijital imza işlevleri için kendi anahtar çiftini kendisi yaratır. Bir ikili anahtar çifti sisteminde, Aboneye, her bir açık anahtar için bir tane olmak üzere iki Sertifika verilir. Managed PKI Key Manager yazılımı, e-Güven’in sunduğu VeriSign Anahtar Kurtarma Servisiyle bağlantılı olarak çalışır. Managed PKI Key Manager SP § 1.1.2.3.2’de ayrıntılı olarak tarif edilmiştir. Managed PKI Key Manager yazılımı, kapalı anahtarların yedekleme amaçlı kopyasını Managed PKI Müşterisinin tesisinde, şifrelenmiş formda saklar. Her bir Abonenin kapalı anahtarı, özel bir anahtar şifreleme koduyla ayrı ayrı şifrelenir. Anahtar kurtarma teknolojisi kullanılarak bu şifreleme anahtarından bir anahtar kurtarma bloğu (“KRB”) yaratılır ve sonra şifreleme anahtarı silinir. Hem Abonenin şifrelenmiş anahtarı, hem de KRB, Managed PKI Müşterisinin sistemlerindeki Key Manager veri tabanında saklanır. Managed PKI Key Manager yazılımı, e-Güven’in sunduğu VeriSign Anahtar Kurtarma Servisiyle bağlantılı olarak çalışır. Bir kapalı anahtarın kurtarılması, Managed PKI Müşterisinin idarecisi yönetiminde Managed PKI Key Manager’ın veri tabanından KRB’yi almasını ve eGüven’in güvenli veri merkezinin çalıştırdığı Anahtar Kurtarma Servisine çevrim içi olarak göndermesini gerektirir. KRB’yi çözebilen ve yerleşik şifreleme anahtarını kurtarabilen kapalı anahtar Sadece e-Güven tarafından muhafaza edilir. Geçerli bir KRB verilirse ve doğru acil kurtarma anahtarları sağlanırsa, Anahtar Kurtarma Servisi şifreleme anahtarını Managed PKI Key Manager yazılımına geri gönderir ve böylece buna karşılık gelen kapalı anahtarı kurtarmasına olanak sağlar. Burada kurtarılan kapalı anahtar dijital imza için kullanılan kapalı anahtar değildir, zira dijital imza için kullanılan kapalı anahtarın yedeği alınamaz. 1.1.2.3.2 e-Güven’in Sunduğu VeriSign Roaming Servisi10 e-Güven’in Managed PKI Müşterilerine sunulan “VeriSign Roaming Servisi” bir Abonenin hisse alım satımı gibi kritik işlemleri dijital olarak imzalamasına ve kapalı anahtarının bulunduğu tek bir müşteri terminaline bağlı olmadan gizli bilgilere erişim elde etmesine olanak sağlar. e10 Bu servis şu anda hazırlık aşamasında olup, işbu SUH’un yürürlükte olduğu dönem içersinde e-Güven tarafından sunulmamaktadır. - 12 - Güven’in roaming teknolojisi, servisi kullanan Abonelerin (“Roaming Aboneleri”) kapalı anahtarlarını güvenli olarak indirmesine ve farklı müşteri terminallerinde kapalı anahtar işlemleri yapmasına izin verir. Roaming Abonesi kendi kapalı anahtarını herhangi bir müşteri terminalinden kullanabilir. e-Güven’in sunduğu VeriSign Roaming Servisi, Roaming Abonelerinin kapalı anahtarlarını, tek bir kimlik belgesi sunucusu üzerinde saldırılara karşı korumak için ikiye ayırır ve iki farklı sunucuda iki farklı fiziki yere kaydedilmiş simetrik anahtarlarla şifreler. Özellikle, bu simetrik anahtarların bileşenleri Managed PKI Müşterisinin tesisinde bulunan bir sunucu (“Kurumsal Roaming Sunucusu” veya Managed PKI Müşterisi yerine güvenilen bir dördüncü şahıs) ile eGüven’deki bir diğer sunucu (“e-Güven Roaming Sunucusu”) arasında bölünür. Kapalı anahtarın kendisi Kurumsal Roaming Sunucusunda şifrelenmiş formda saklanır. Roaming Abonesi bir şifre kullanarak kendisini bu sunuculara tanıtır ve şifrenin sunuculara başarıyla verildiği kabul edilirse, şifrelenmiş kapalı anahtar ve Abonenin kapalı anahtarının şifresini çözmek için gereken simetrik anahtarın bileşenleri müşteri terminaline indirilir. Müşteri terminalinde simetrik anahtar yeniden oluşturulur, Abonenin kapalı anahtarının şifresi çözülür ve sonra da tek bir oturumda kullanıma sunulur. Oturumdan sonra müşteri terminalindeki kapalı anahtar bir daha kurtarılamayacak şekilde silinir. 1.2 Tanımlama Bu doküman e-Güven Sertifika Uygulama Hükümleri belgesidir.. VTN Sertifikaları, ilgili VTN Sertifika Sınıfına karşılık gelen nesne tanımlayıcı değerleridir. Bu nedenle, e-Güven bu SUH’ye bir nesne tanımlayıcı değeri tahsis etmemiştir. Sertifika Politikası Nesne Tanımlayıcıları SUH § 7.1.6’ya göre kullanılır. 1.3 Kullanıcı Grubu ve Kullanılabilirlik Bu SUH’un kapsamındaki kullanıcı grubu, VeriSign Trust Network içindeki e-Güven Altalanıdır. VTN ise, iletişim ve bilgi güvenliği konusunda çok çeşitli ihtiyaçları bulunan, dünya çapında, büyük, herkese açık ve geniş dağılım gösteren kablolu ve kablosuz kullanıcılardan oluşan bir grubu içine alan bir AAA’dır. VTN’nin e-Güven Altalanı bu SUH’un düzenlediği VTN bölümüdür . SUH, VTN’nin e-Güven Altalanını kapsayan bir dokümandır. e-Güven Altalanı Katılımcılarının çoğu Türkiye’de bulunur. 1.3.1 Sertifika Otoriteleri Sertifika Otoritesi terimi, VTN içinde Sertifika veren bütün kuruluşlara atıfta bulunan bir şemsiye terimdir. “SO” terimi Ana Sertifikalandırma Otoriteleri (PCA’lar) olarak adlandırılan ve sertifika düzenleyenlerden oluşan bir alt kategoriyi de içine alır. PCA’lar, her bir Sertifika sınıfı için bir tane olmak üzere üç alanın temelini oluşturur. Her PCA bir VeriSign kuruluşudur. Her bir Sertifika sınıfı için halen üç kuşak VeriSign PCA’ları (G1, G2 ve G3) bulunmaktadır. PCA’ların mahiyetinde son kullanıcı Abonelere veya başka SO’lara Sertifikalar veren Sertifika Otoriteleri bulunur. e-Güven Altalanındaki SO’lar üç kategoriye ayrılır: (1) e-Güven’in kendisi, (2) Managed PKI Müşterileri ve (3) ASB Müşterileri. VeriSign, bütün VTN PCA’larını içine alan bir İşlem Merkezidir. e-Güven ise kendine ait bütün SO’ları ve alt alanı içersinde tanımlı olan SO’ları ve bunlkarta bağlı olan SO’ları içine alan bir İşlem Merkezidir. - 13 - e-Güven SO’ları, Sertifika Başvurularının, Managed PKI Lite Müşterileri, SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterilerince onaylanmasından sonra Sertifikalar veren SO’lar haricindeki bütün SO işlevlerini (KO işlevleri de dahil) yerine getirir. Managed PKI Müşterileri, VTN içinde SO olurlar. Managed PKI Müşterileri arka uç işlevlerini bir İşlem Merkezinden temin eder, KO işlevlerini ise kendisi yerine getirir. ASB Müşterileri e-Güven’le sözleşme yapar ve böylece ASB Müşterisinin SO olduğunu gösteren Sertifikalar düzenleyen bir SO olurlar. Ancak ASB Müşterileri, ASB Müşterisi SO’sunun düzenlediği Sertifikaların SUH § 4.4.1.1’e göre iptalini başlatma sorumluluğu hariç olmak üzere bütün ön uç ve arka uç işlevlerini e-Güven’den temin eder. SP § 1.3.1’de ele alındığı gibi, VeriSign’ın RSA Security Inc.’den temin ettiği RSA Güvenli Sunucu Sertifika Otoritesi, Sınıf 3 Kurumsal Sertifikalar olduğu kabul edilen Güvenli Sunucu Kimlikleri düzenler. VeriSign, RSA Güvenli Sunucu Sertifika Otoritesini onaylar ve VTN’nin eGüven Altalanında bir Sınıf 3 SO olarak tayin eder. Bunun düzenlediği Sertifikaların (Güvenli Sunucu Kimlikleri) başka Sınıf 3 kurumsal Sertifikalarla karşılaştırılabilir güvenilirlik taahhüdü verdiği kabul edilir. 1.3.2 Kayıt Otoriteleri VTN’nin e-Güven Altalanında, KO’lar dört kategoriye ayrılır: (1) Managed PKI Lite Müşterileri, (2) SSL için Managed PKI Müşterileri, (3) SSL Premium Edition için Managed PKI Müşterileri ve (4) görevi gereği ASB sağlayıcı olan e-Güven. e-Güven’in önceden yazılı onayıyla başka KO tiplerine izin verilir, ancak Managed PKI teknolojisi ile bu KO’ların kullandığı teknoloji arasındaki farklılıklar ve uygun bir anlaşmanın şartları açıklamak için gereken değişikliklere tâbi olarak, bu SO’ların Managed PKI Müşterilerine yüklenen sorumlulukları yerine getirmesi gerekir. KO’lar, kimlik doğrulama, Sertifika Başvurularını onaylama veya reddetme, Sertifikaların iptalini talep etme ve yenileme taleplerini onaylama veya reddetme ön uç işlevlerini yerine getirerek bir SO’ya yardımcı olur. Managed PKI Lite Müşterileri, son kullanıcı Abonelere müşteri Sertifikaları düzenlemede eGüven’in SO’suna yardımcı olan KO’lar olurlar. Benzer şekilde, SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterileri, Güvenli Sunucu Kimlikleri veya Global Sunucu Kimlikleri düzenlemede RSA Güvenli Sunucu SO’suna, VeriSign Uluslararası Sunucu SO’suna - Sınıf 3 veya benzeri e-Güven SO’suna yardımcı olan ve Managed PKI kullanan KO’lar olurlar. ASB sağlayıcı olarak e-Güven, ASB Müşterilerine Kimlik Kontrol Servisi Bürosu servisleri sunar. ASB sağlayıcı olarak e-Güven, ASB Müşterisi SO’ları için hem KO ön uç işlevlerini, hem de KO arka uç işlevlerini yerine getirir. 1.3.3 Son Kullanıcılar Tablo 4, VTN’nin e-Güven Alt alanında sunulan her bir Sertifika Sınıfı veya tipi için Abone gruplarını gösterir. - 14 - Sınıf Verilen Sınıf 1 Bireyler Sınıf 2 Bireyler Sınıf 3 Bireyler Sertifikaların kullanıldığı servisler Perakende Perakende ve Kimlik Kontrol Servisi Bürosu Managed PKI Perakende İdareciler Kurumlar Perakende Kimlik Kontrol Servisi Bürosu Managed PKI Abone tipleri Belirli bir grubun üyesi olsun ya da olmasın herhangi bir şahıs. Belirli bir grubun üyesi olsun ya da olmasın herhangi bir şahıs. İki seviyeli Kimlik Kontrol Servisi kapsamı hariç olmak üzere, Managed PKI Müşterisiyle ticari ve/veya iş ilişkisi içersinde olan kişiler. İki seviyeli Kimlik Kontrol Servisi altında hizmet alan Managed PKI Müşterileri, KO işlevlerini yürütmeyle ilgili işleri yerine getirmek üzere ilişkileri bulunan başka bir kurumu KO işlevlerini yürütmeyle ilgili işlerle sınırla kalmak koşuluyla yetkilendirebilir. Managed PKI Sertifikası alan bireylerin KO işlevlerini yürütmeyle ilgili işler konusunda yetkilendirilmiş olan kuruma bağlı çalışmaları gerekmektedir. . Belirli bir grubun üyesi olsun ya da olmasın herhangi bir şahıs. İdareci göreviyle servis sunan bireyler (e-Güven, Managed PKI Müşterileri veya güvenilen dördüncü şahıslar adına Sertifika veya sertifikalandırma servisi yönetim işlevlerini yerine getiren Güvenilen Şahıslar). Aşağıdakiler de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla bir cihazı kontrol eden kurumlar: • Web sunucular veya web trafik yönetim cihazları (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri) • OFX sunucuları • Kod veya başka içerikleri dijital olarak imzalayan cihazlar Kapalı anahtarları kurumların yetkili temsilcilerince kontrol edilen ve bu temsilcilerin ilgili kurumlar adına hareket etme yetkisine sahip olduğunun kimlik kontrol prosedürleriyle doğruladığı kurumlar. Managed PKI İdarecisinin Güvenli Sunucu Kimlikleri ve/veya Global Sunucu Kimlikleri düzenlenmesini onayladığı birden fazla web sunucusunu kontrol eden kurumlar. Tablo 4 – VTN’nin e-Güven Altalanındaki Abone Tipleri SO’lar, teknik anlamda, kendisi için imzalı Sertifika düzenleyen bir PCA ya da bir Üst SO’nun Sertifika düzenlediği bir SO olarak Sertifika Aboneleridir. Ancak, bu SUH’da “Aboneler”e yapılan atıflar sadece son kullanıcı Aboneler için geçerlidir. 1.3.4 Geçerlilik Bu SUH, e-Güven, Müşteriler, Kurumsal SO’lar, VTN içersinde sertifika Hizmeti veren bireyler ve kurumlar, Kayıt Otoriteleri, Aboneler ve İtimat Eden Taraflar da dahil bütün e-Güven Altalanı Katılımcıları için geçerlidir. Bu SUH, VTN’nin e-Güven Altalanı ve e-Güven’in VTN’yi destekleyen ana altyapısı için geçerlidir. Bu SUH, SP’de tarif edilen her üç sertifika sınıfının, e-Güven Altalanında kullanımını düzenleyen, uygulamaları tarif eder. Her bir Sertifika Sınıfı genelde SP § 1.3.4.1 ve SUH § 1.1.1’de (Tablo 2) belirtilen uygulama şekliyle kullanım için uygundur. Bununla birlikte, sözleşmeyle veya belirli ortamlarda (örneğin, bir şirket içi ortam) VTN Katılımcılarının SUH §§ 1.1.1, 1.3.4.1’de tarif edilenlerden daha yüksek güvenlikli uygulamalar için Sertifikalar kullanmalarına izin verilir. Ancak, bu tip bir kullanım - 15 - bu tip kuruluşlarla sınırlıdır ve CPSSUH §§ 2.2.1.2, 2.2.2’de belirtilen hükümlere tabidir. Bu kuruluşlar bu tip bir kullanımın yaratacağı sonuçlardan veya sebep olacağı yükümlülüklerin yerine getirilmesinden müstakilen sorumludur. 1.3.4.1 Uygun Başvurular Uygun başvurular için Bkz. SP § 1.3.4.1 ve SUH § 1.1.1 (Tablo 2). Bireysel Sertifikalar ve bazı Kurumsal Sertifikalar İtimat Eden Tarafların dijital imzaları doğrulamasına izin verir. e-Güven Altalanı Katılımcıları, bir elektronik mesaja ya da herhangi bir elektronik kayda VTN Sertifikasıyla doğrulanabilen dijital imzanın eklenmesi durumunda yürürlükteki kanunların izin verdiği sınırlar içerisinde, bu mesajın veya kaydın yazılı belgeyle aynı hukuki sonucu doğuracağını ve aksi ispat edilene kadar taraflar arasında kesin, bağlayıcı ve münhasır delil olarak ileri sürülebileceğini kabul ederler. Yürürlülükteki kanun hükümlerinin izin verdiği ölçüde, herhangi bir VTN Sertifikası kullanılarak yaratılan herhangi bir dijital imza veya işlem, VTN Sertifikasının düzenlendiği veya dijital imzanın yaratıldığı ya da kullanıldığı coğrafi yer ve SO veya Abonenin faaliyet yerinin coğrafi konumu ne olursa olsun geçerli olacaktır. 1.3.4.2 Sınırlı Başvurular Genel olarak, VTN Sertifikaları genel kullanım amaçlarına yönelik Sertifikalardır. VTN Sertifikaları dünya çapında çeşitli İtimat Eden Taraflarla birlikte çalışmak için, küresel olarak kullanılabilen sertifikalardır. Ancak kendi ortamlarında Sertifikalar kullanan Müşteriler bu ortamlarda, Sertifikaların genel kullanım amaçlarını sınırlayabilir ve Sertifika kullanım çerçevesine ek sınırlamalar getirererek sertifikaların kullanım alanını ve uygulamalarını kendileri belirleyebilir. Bununla birlikte, e-Güven ve diğer e-Güven Altalanı katılımcıları bahsi geçen ortamlarda yaratılan bu tip sınırlamaları ve uygulamaları izlemek veya uygulamakla sorumlu değildir. Bazı VTN Sertifikaları işlev açısından sınırlıdır. Örneğin, SO Sertifikaları SO işlevleri haricinde bir işlev için kullanılamaz. Son kullanıcı Sertifikaları son kullanıcılar için işbu SUH’da veya SO’lar tarafından özel olarak belirlenen işlemleri gerçekleştirme amaçlı kullanılabilirler ve bu tip sertifikalar sunucu ya da kurumsal Sertifikalar olarak kullanılamazlar.. İlave olarak, cihazlar için düzenlenen Sınıf 3 kurumsal sertifikaları işlev açısından, web sunucularıyla veya web trafik yönetim cihazlarıyla (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri durumunda) birlikte kullanım ile veya nesne imzalaması (nesne imzalama Sertifikaları durumunda) amacıyla kullanımla sınırlıdır. Ayrıca, İdareci Sertifikaları sadece İdareci işlevlerini yerine getirmede kullanılacaktır. X.509 Versiyon 3 VTN Sertifikalarıyla ilgili olarak, anahtar kullanım ekinin amacı, bir Sertifikadaki açık anahtara karşılık gelen kapalı anahtarın VTN’de kullanılabildiği teknik amaçları sınırlamaktır. Bkz. SP § 6.1.9. Ayrıca, son kullanıcı Abone Sertifikaları SO Sertifikaları olarak kullanılmayacaktır. Bu sınırlama, bir Temel Sınırlamalar eki olmamasıyla doğrulanır. Bkz. SP § 7.1.2.4. Ancak, ekle getirilen sınırlamaların geçerliliği, e-Güven haricindeki kuruluşlarca üretilen veya kontrol edilen yazılımın kullanımına tâbidir. - 16 - Daha genel olarak ele alırsak, Sertifikalar ancak işbu SUH, SO’ların belirlediği bir takım prosedürler, cari kanunlar, ilgili ihracat ve ithalat mevzuatlarının izin verdiği sınırlar içerisinde kullanılacaktır. 1.3.4.3 Yasaklanmış Başvurular VTN Sertifikaları tehlikeli ortamlarda kontrol ekipmanı olarak kullanım veya tekrar satış için ya da arızaların doğrudan ölüme, yaralanmaya veya ciddi çevresel hasara yol açabileceği nükleer tesis işletimi, uçak seyir veya haberleşme sistemleri, hava trafik kontrol sistemleri veya silah kontrol sistemleri gibi arıza güvenli işletim gerektiren kullanımlar için tasarlanmamış veya bu kullanımlara izin verilmemiştir. Ayrıca, SUH § 1.3.4’e tâbi olarak, Sınıf 1 Sertifikaları kimlik kanıtı olarak ya da kimliğin veya yetkinin reddinin önlenmesini desteklemek amacıyla kullanılmayacaktır. 1.4 İrtibat Detayları 1.4.1 SUH’le ilgili Yetkili Kurum Bu SUH’un idaresi e-Güven Uygulama Geliştirme grubunca yürütülmektedir. e-Güven’in Uygulama Geliştirme grubuna iletilecek sorular için aşağıdaki adres kullanılmalıdır: Elektronik Bilgi Güvenliği Anonim Şirketi Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul Türkiye Dikkatine: Uygulama Geliştirme – SUH Santral: +90 212 296 8146 Faks: +90 212 296 8148 practices@e-guven.com 1.4.2 İrtibat Görevlisi SUH’la ilgili sorularınızı SUH-requests@e-guven.com adresine veya aşağıdaki adrese iletiniz: Elektronik Bilgi Güvenliği Anonim Şirketi Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul Türkiye - 17 - Dikkatine: Uygulama Geliştirme – SUH Santral: +90 212 296 8146 Faks: +90 212 296 8148 practices@e-guven.com 1.4.3 SUH’un Politikaya Uygunluğunu Belirleyen Kişi SUH § 1.4.2’de tanımlanan kurum, bu SUH’un ve sertifika uygulama hükümleri gereği bu SUH’u tamamlayan veya bu SUH kapsamındaki diğer dokümanların SP’ye ve bu SUH’a uygun olup olmadığını belirlemekten sorumludur. 2. Genel Hükümler 2.1 Sorumluluklar 2.1.1 SO’nun Sorumlulukları SO’lar işbu SUH içinde yer alan belirli sorumlulukları yerine getirir. SUH’un hükümleri her bir SO kategorisinin sorumluluklarını belirtir. İş bu SUH içersinde yer alan SO katogorileri eGüven, Managed PKI Müşterileri ve ASB Müşterileridir. e-Güven, diğer SO kategorisinde yer alan müşterilerinin kendi alt alanlarındaki taraflarla imzalayacakları veya kabul edilmesini sağlayacakları Abonelik Anlaşmaları ve itimat Eden Taraflar Anlaşmalarını e-Güven Altalanındaki Aboneleri ve İtimat Eden Tarafları bağlamasını sağlamak için makul olarak gereken her türlü çabayı gösterir. Bunlar arasında, bir kayıt koşulu olarak bir Abonelik Anlaşmasının onaylanmasını istemek ya da bir Sertifika durum bilgisi alma koşulu olarak bir İtimat Eden Taraflar Anlaşmasını onaylanmasını istemek örnek olarak sayılabilir; fakat örnekler bunlarla sınırlı değildir. Benzer şekilde, e-Güven’in müşterisi olan SO’ların satış için yetkilendirdiği kurumların (e-Güven ile imzaladıkları sözleşme hükümlerine uygun olmak koşuluyla) son kulacılarla imza edecekleri veya kabul edilmesini sağlayacakları Abonelik Anlaşmalarını ve İtimat Eden Taraflar Anlaşmalarını e-Güven’in koyduğu şartlara göre kullanmalıdır. VeriSign’ın ve e-Güven’in müşterisi olan SO’ların satış için yetkilendirdiği kurumların kullandığı Abonelik Anlaşmalarını ve İtimat Eden Taraflar Anlaşmaları SUH §§ 2.2-2.4 hükümlerini içermelidir. Managed PKI Müşterileri, yapmaları istenmemiş olsa dahi, kendilerine özgü ve özel Abonelik Anlaşmalarını kullanmalarına izin verilmiştir. Abonelik Anlaşmalarını kullanan Managed PKI Müşterileri, anlaşmaya SP §§ 2.2-2.4 hükümlerini dahil etmelidir. Bir Managed PKI Müşterisi veya e-Güven’in müşterisi olan SO’ların satış için yetkilendirdiği kurumların kendi Abonelik Anlaşmasını kullanmazsa, e-Güven’in Abonelik Anlaşması geçerlidir. e-Güven’in müşterisi olan SO’ların satış için yetkilendirdiği kurumların İtimat Eden Taraflar Anlaşması yoksa, e-Güven’in İtimat Eden Taraflar Anlaşması geçerlidir. - 18 - 2.1.2 KO’nun Sorumlulukları KO’lar, bir İşlem Merkezi veya Servis Merkezi SO’sına, geçerlilik kontrol işlevlerini yerine getirerek; Sertifika Başvurularını onaylayarak veya reddederek; Sertifikaların iptalini talep ederek ve yenileme taleplerini onaylayarak destek olur. SUH’un hükümleri her bir KO kategorisinin sorumluluklarını belirtir. İşbu SUH içersinde yer alan KO kategorileri Managed PKI Lite Müşterileri, SSL için Managed PKI Müşterileri, SSL Premium Edition için Managed PKI Müşterileri ve ASB sağlayıcı olarak e-Güven’dir. Bir ASB Sağlayıcı olarak e-Güven, ayrıca, Abonelik Anlaşmalarının ve İtimat Eden Taraflar Anlaşmalarının Aboneleri ve İtimat Eden Tarafları, ASB Müşterinsin Altalanlarında SUH § 2.1.1’e göre bağlamasını da sağlar. Diğer KO’ların böyle bir sorumluluğu yoktur. 2.1.3 Abone Sorumlulukları SP’deki Abone sorumlulukları, bu SUH kullanılarak VeriSign’ın onayladığı Abonelik Anlaşmaları vasıtasıyla uygulanır ve e-Güven Altalanındaki Aboneler için geçerlidir. e-Güven Altalanında yürürlükte bulunan bazı Abonelik Anlaşmaları http://www.e-guven.com/repository adresinde bulunabilir. e-Güven Altalanında cari olan Abonelik Anlaşmaları, Sertifika Başvuru Sahiplerinin Sertifika Başvurularında doğru ve eksiksiz bilgi verdiğini ve Sertifika almanın ön koşulu olarak Abonelerin ilgili Abonelik Anlaşmasını kabul ettiğini göstermesi gerekmektedir. Abonelik Anlaşmaları, SP ve SUH’de gösterilen belirli sorumlulukları e-Güven Altalanındaki Abonelere uygular. Abonelik Anlaşmaları Abonelerin sertifikalarını SUH § 1.3.4’e göre kullanmalarını gerektirir. Ayrıca, Abonelerin kapalı anahtarlarının SUH §§ 6.1-6.2, 6.4’e göre korumalarını da gereklidir. İşbu SUH içersinde işaret edilen Abonelik Anlaşmaları hükümleri dairesinde, bir Abone, kapalı Anahtarı veya bu kapalı anahtarı koruyan aktivasyon verileriyle ilgili bir tehdit bulunduğu ya da Sertifikadaki bilgilerin yanlış veya değiştirilmiş olduğu yolunda bir tespitte bulunur veya bu yönde bir şüpheye kapılır ise,derhal aşağıdaki eylemlerde bulunmalıdır: • • SUH § 4.4.1.1’ye göre, Abonenin Sertifika Başvurusunu onaylayan kuruluşa (bir SO veya KO) bilgi vermeli ve SUH §§ 3.4, 4.4.3.1’e göre Sertifikanın iptalini talep etmeli ve Abonenin Sertifikasıyla veya Abone Sertifikasına göre doğrulanabilir bir dijital imzayla Abonenin işlem yapmasını veya servis sunmasını bekleyebileceği bir kişiye bilgi vermelidir. Abonelik Anlaşmalarına göre, Abonelerin, SUH § 6.3.2 altında anahtar kullanım sürelerinin sonunda özel anahtarlarının kullanımını durdurmalarını gerekmektedir. . Abonelik Anlaşmaları, Abonelerin, VeriSign’ın ve e-Güven’in önceden yazılı onayı alınmadıkça VTN’nin teknik uygulamasını izleyemeyeceğini, ona müdahale edemeyeceğini veya onun üzerinde tersine mühendislik yapamayacağını ve VTN’nin güvenliğini bilerek tehlikeye sokamayacağını belirtir. - 19 - 2.1.4 İtimat Eden Tarafın Sorumlulukları SP’de İtimat Eden Tarafın sorumlulukları işbu SUH’un hükümleri uyarınca işaret edilen eGüven’in İtimat Eden Taraf Anlaşmaları vasıtasıyla uygulanır. e-Güven’in İtimat Eden Taraflar Anlaşması e-Güven Alt alanındaki itimat eden taraflar için geçerlidir. e-Güven Alta lanında yürürlükte bulunan İtimat Eden Taraflar Anlaşmasına http://www.eguven.com/repository/rpa/index.html adresinden ulaşılabilir. e-Güven Alt alanındaki İtimat Eden Taraflar Anlaşmaları herhangi bir işlemden önce İtimat Eden Tarafın işlem sırasında kullanılan sertifikanın herhangi bir amaçla kullanımının uygunluğunu bağımsız olarak değerlendirmesi gerektiğini belirtir ve sertifikanın ancak hukuka, SUH’a, itimat eden taraflar anlaşmasına uygun bir amaç için kullanılacağını belirtir.. e-Güven, SO’ların ve KO’ların bir Sertifikanın kullanımının uygunluğunun değerlendirilmesinden sorumlu olmadığını belirtir. İtimat Eden Taraflar Anlaşmaları, Sertifika Kullanıcılarının ve İtimat Eden Tarafların, Sertifikaları SUH § 1.3.4.2’deki sınırlamalar dışında ve SUH § 1.3.4.3’de yasak olduğu belirtilmiş amaçlar için kullanmaması gerektiğini belirtir. İtimat Eden Taraflar Anlaşmaları, ayrıca, İtimat Eden Tarafların, Sertifikalara dayanarak işlem yapma koşulu olarak, dijital imzanın doğrulanmasını veya yapılmak istenen başka şifreleme işlemlerini yerine getirmek için uygun yazılımı ve/veya donanımı kullanmaları gerektiğini belirtir. Bu işlemler arasında bir sertifika zincirinin tanımlanması ve sertifika zincirindeki bütün Sertifikalar üzerinde bulunan dijital imzaların doğrulanması sayılabilir. İtimat Eden Taraflar, İtimat Eden Taraflar Anlaşmalarının hükümleri uyarınca doğrulama prosedürleri başarılı olmadıkça bir Sertifikaya dayanarak işlem yapmamalıdır. İtimat Eden Taraflar Anlaşmaları uyarınca İtimat Eden Tarafların ve Sertifika Kullanıcılarının işlem yapmak için kullanmak istedikleri bir Sertifikanın durumunu kontrol etmelerinin yanında sertifika zincirinde yer alan bütün Sertifikaların durumunu SUH §§ 4.4.10, 4.4.12’ye göre kontrol etmelerini de gerekir. Sertifika zincirindeki Sertifikaların herhangi biri İtimat Eden Taraflar Anlaşmaları veya Kullanıcı Sözleşmelerine (Abone Anlaşmaları) göre iptal edilmişse, İtimat Eden Taraf, son kullanıcı Abone Sertifikasına veya Sertifika Zincirindeki başka iptal edilmiş bir Sertifikaya dayanarak işlem yapmamalıdır. Son olarak, İtimat Eden Taraflar Anlaşmalarından ilgili olanların İtimat Eden Taraflar tarafından kabul edilmesi durumunda Sertifikaların kullanılması veya bunlara dayanarak işlem yapılması halinde doğan ve doğabilecek her türlü sonucun bahsi geçen anlaşmaların hükümleri dairesinde karara bağlanacağının İtimat Eden Taraflarca kabul edildiğini anlamına gelmektedir. ..Aynı zamanda Abone (Sertifika Kullanıcısı) olan İtimat Eden Taraflar bu bölümde açıklananların yanında, garanti sorumluluklarının reddi ve sorumluluğun sınırlandırılması bölümlerindeki İtimat Eden Taraflar hükümlerinin de bağlayıcılığını kabul eder. İtimat Eden Taraflar Anlaşmaları, yukarıda tarif edilen kontrollerin tümünün başarılı olması durumunda, İtimat Eden Tarafın , ilgili koşullar altında hukuka ve ilgili sözleşmelere uygun olması şartıyla Sertifikaya dayanarak işlem yapmaya yetkili olduğunu belirtir. Koşullar ilave güvencelere ihtiyaç gösterdiği takdirde, İtimat Eden Taraf, yapılacak bu işlemin hukuka ve ilgili sözleşmelere uygun olarak kabul edilebilmesi için güvence almalıdır. - 20 - İtimat Eden Taraflar Anlaşmaları, İtimat Eden Tarafların, VeriSign’ın ve e-Güven’in önceden yazılı onayı alınmadıkça VTN’nin teknik uygulamasını izleyemeyeceğini, ona müdahale edemeyeceğini veya onun üzerinde tersine mühendislik yapamayacağını ve VTN’nin güvenliğini bilerek tehlikeye sokamayacağını belirtir. 2.1.5 Veri Depolama Sorumlulukları e-Güven, kendi SO’larının ve Managed PKI Müşterileri ile ASB Müşterilerinin SO’larının veri depolama işlevlerinden sorumludur. e-Güven düzenlediği Sertifikaları Tablo 5’de belirtilen veri bankasında SUH § 2.6’ya göre yayınlar. SO Bütün e-Güven CA’ları Managed PKI Müşterisi veya e-Güven ASB Müşterisi SO Adına Sertifika Düzenleyen Kuruluş e-Güven e-Güven İlgili Veri Bankası e-Güven Veri Bankası e-Güven Veri Bankası Tablo 5 – SO Tipine Göre İlgili Veri Bankaları Bir son kullanıcı Abonenin Sertifikasının iptaliyle, e-Güven bu iptali Tablo 5’de belirtilen veri bankasında yayınlar. e-Güven, kendi SO’ları ve Altalanındaki Servis Merkezleri, Managed PKI Müşterileri ve ASB Müşterileri SO’ları için SUH §§ 2.6, 4.4.9, 4.4.11’e göre CRL’ler düzenler. Ayrıca, e-Güven, Çevrim İçi Sertifika Durum Protokolü (“OCSP”) servisleri için sözleşme yapmış Managed PKI Müşterileri için SUH §§ 2.6, 4.4.9, 4.4.11’e göre OCSP servisleri sunar. 2.2 Sorumluluk 2.2.1 Sertifika Otoritesinin Sorumlulukları e-Güven,e-Güven’in Altalanındaki ilgili SO’lar, e-Güven ve e-Güven’in Alt alanındaki ilgili SO’ların müşterileri arasındaki garantiler, garanti sorumluluklarından muaf tutulma (sorumsuzluk kayıtları) ve sorumluluğun sınırlandırılması, bunlar arasında yapılan anlaşmalarda belirtilir ve bahsi geçen anlaşmalarla düzenlenir. Bu SUH § 2.2.1, sadece, belirli SO’ların (eGüven ve Managed PKI Müşterileri) İtimat Eden Taraflarına ve bunlardan Sertifika alan son kullanıcı Abonelere vermek zorunda olduğu garantiler ve bu Aboneler ve İtimat Eden Taraflar için uygulayacakları garanti, sorumsuzluk kayıtları ve sorumluluğun sınırlamasıyla ilgilidir. ASB Müşterileri bütün ön uç ve arka uç işlevlerini ASB Sağlayıcıdan temin ettiğinden bu bölümün garanti şartları ASB Müşterileri için geçerli değildir. e-Güven ve e-Güven’in yetkili satıcıları gerektiğinde Abonelik Anlaşmalarını ve İtimat Eden Taraflar Analşamalarını SUH § 2.1.1’e göre kullanır. Managed PKI Müşterileri, e-Güven ile ararlarında imzalanan sözleşmede akisne bir hüküm belirtilmemiş ise Abonelik Anlaşmasını kullanma veya kullanmama seçeneğine sahiptir. Bahsi geçen SO’lar ve müşteriler tarafından kullanılan Abonelik Anlaşmaları e-Güven’in koyduğu şartları karşılamalıdır. Abonelik Anlaşmaları için aşağıda belirtilen garantiler, sorumsuzluk kayıtları ve sorumluluğun sınırlandırılması kayıtları , Abonelik Anlaşmalarını kullanan Managed PKI Müşterileri ve e- 21 - Güven’in temsilcileri için geçerlidir. e-Güven kendi Abonelik Anlaşmalarında da bu şartlara bağlı kalır. e-Güven’in İtimat Eden Taraflar Anlaşmalarında garantiler, sorumsuzluk kayıtları ve sorumluluğun sınırlandırılmasıyla ilgili hükümler Managed PKI Müşterileri ve e-Güven’in temsilcileri için de geçerlidir. Aboneler genelde İtimat Eden Taraf olarak da hareket ettiğinden, İtimat Eden Taraflar için geçerli hükümlerin, İtimat Eden Taraflar Anlaşmalarına ilave olarak Abonelik Anlaşmalarına da dahil edileceğine dikkat edilmelidir. 2.2.1.1 Aboneler ve İtimat Eden Taraflar için Sertifika Otoritesi Garantileri Abonelere verilen aşağıdaki garantiler e-Güven’in Abonelik Anlaşmalarına dahil edilmiştir ve diğer Abonelik Anlaşmalarına da dahil edilecektir: • • • • Sertifika içersinde yer alan bir bilgiyle ilgili olarak, Sertifika Başvurusunu onaylayan veya Sertifikayı düzenleyen kuruluşlarca bilinen veya onlardan kaynaklanan bir maddi hata bulunmaması. Sertifikada, Sertifika Başvurusunu onaylayan veya Sertifikayı düzenleyen kuruluşlarca dahil edilmiş bilgilerde, Sertifika Başvurusunun yönetiminde veya Sertifikanın hazırlanmasında makul özenin gösterilmemesinden kaynaklanan bir hata bulunmaması. Sertifikalarının bu SUH’un bütün esaslı şartlarını karşılaması. İptal servislerinin ve bir veri bankasının kullanımının maddi açılardan bu SUH’a uygun olması. e-Güven’in İtimat Eden Taraflar Anlaşmaları, bir Sertifikaya dayanarak işlem yapan bütün İtimat Eden Taraflara ve Sertifika Kullanıcılarına aşağıdaki garantileri verir: • • • Doğrulanmamış Abone Bilgisi hariç olmak üzere bu Sertifikada yer alan veya referans olarak dahil edilmiş bütün bilgilerin doğru olması. Sertifikaların e-Güven veri bankasında görülmesi durumunda, Sertifikanın, üzerinde Abone olarak belirtilen birey veya kurum için düzenlenmiş ve Abonenin SUH § 4.3’e göre Sertifikayı kabul etmiş olması. Sertifika Başvurusunu onaylayan ve Sertifikayı düzenleyen kuruluşların, Sertifikanın düzenlenmesi sırasında temelde bu SUH’a uygun hareket etmesi. 2.2.1.2 Sertifika Otoritesi Sorumsuzluk Kaydı e-Güven SO sıfatıyla, cari kanunların izin verdiği sınırlar ve e-Güven Altalanında yer alan müşterileriyle akdettiği sözleşmelerin hükümleri dairesinde, bu müşterilerin SO yetkilerini kullanarak akdettiği üçüncü kişi sözleşmelerinden, itimat eden tarafların, üçüncü kişilerin ve sertifika kullanıcılarının fiillerinden doğan ve doğabilecek her türlü zarar ve uyuşmazlıkla ilgili herhangi bir tararf sıfatı ve sorumluluğu bulunmamaktadır. İşbu sorumsuzluk kaydı yalnızca eGüven için geçerlidir.. 2.2.1.3 Sertifika Otoritesinin Sorumluluğunun Sınırlandırılması e-Güven SO sıfatıyla, cari kanunların izin verdiği sınırlar ve e-Güven Altalanında yer alan müşterileriyle akdettiği sözleşmelerin hükümleri dairesinde, e-Güven’in Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmaları, e-Güven’in sorumluluğunu sınırlandırır ve ileride - 22 - yapılacak Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarında da bu sınırlamalar bulunacaktır. İşbu madde içersinde anılan sorumluluğun sınırlandırılması hükmü , her türlü dolaylı, arizi, yansıma ve özel nitelikli zararla ilgili sorumsuzluk kaydını da içerir. Sorumluğun sınırlandırılmasıyla ilgi bu hüküm, ayrıca, e-Güven’in belirli bir Sertifikayla ilgili doğan ve doğabilecek tüz uyuşmazlıklarla ilgili sorumluluğunun üst limitini de belirler. İşbu sorumluluğun sınırlandırılmasıyla ilgili hüküm yalnızca e-Güven için geçerlidir.. Sınıf Sınıf 1 Sınıf 2 Sınıf 3 Sorumluluk Üst Sınırları Yüz ABD Doları (USD 100,00) Beş Bin ABD Doları (USD 5.000,00) Yüz Bin ABD Doları (USD 100.000,00) Tablo 6 – Sorumluluk Üst Sınırları 2.2.1.4 Mücbir Sebep Cari kanunların ve ilgili mevzuat hükümlerinin izin verdiği sınırlar içerisinde, e-Güven’in Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarına bir mücbir sebep maddesi dahil edilmiştir. İleride e-Güven tarafından yapılacak Abonelik Anlaşmalarına ve İtimat Eden Taraflar Anlaşmalarına da cari kanunların ve ilgili mevzuat hükümlerinin izin verdiği sınırlar içerisinde Mücbir Sebep üst başlığını taşıyan bir madde dahil edilecektir. 2.2.2 Kayıt Otoritesinin Sorumluluğu Bir KO ile Sertifika düzenlemede ona yardımcı olan SO ya da ilgili birimi arasındaki garantiler, sorumsuzluk kayıtları ve sorumlululuğun sınırlandırılması hükümleri,, sayıla sujeler arasında yapılan anlaşmalarda belirtilir ve bu anlaşmalarla düzenlenir. e-Güven, bir ASB Sağlayıcı KO olarak, kendisine ait garantileri, sorumsuzluk kayıtları ve sınırlamalarını Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmaları hükümlerine ve SUH §§ 2.1.1-2.1.2’ye göre kullanır. Managed PKI Lite Müşterileri, SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterileri, Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarını kullanamaz. Bu nedenle, işbu bölümde açıklanan uygulamalar bahsi geçen tararflar için geçerli değildir. Bunun yerine e-Güven’in Abonelik Anlaşması geçerli olur. e-Güven, ASB Müşterisi SO’ları adına, SUH §§ 2.2.1.1-2.2.1.4’de belirtilen garantileri, sorumsuzluk kayıtları, sorumluluk sınırlamalarını ve mücbir sebep maddelerini Abonelik Anlaşmalarına ve İtimat Eden Taraflar Anlaşmalarına dahil eder. 2.2.3 Abonenin Sorumluluğu 2.2.3.1 Abonenin Vereceği Garantiler e-Güven’in Abonelik Anlaşmaları Abonelerin aşağıdaki garantileri vermesini gerektirir: - 23 - • • • • • • Sertifikada listelenen açık anahtara karşılık gelen kapalı anahtar kullanılarak yaratılan her bir dijital imzanın Abonenin dijital imzası olması ve dijital imzanın yaratıldığı zaman Sertifikanın kabul edilmiş ve yürürlükte (süresinin dolmamış veya iptal edilmemiş) olması. Abonenin kapalı anahtarına şimdiye kadar hiçbir yetkisiz şahsın erişmemiş olması. Abonenin yaptığı Sertifika Başvurusunda Abonenin verdiği bütün bilgi ve belgelerin doğru olması. Abonenin verdiği ve Sertifikada yer alan bütün bilgilerin doğru olması. Sertifikanın, sadece, bu SUH’a, abonelik sözleşmesine ve hukuka uygun amaçlarla kullanılıyor olması. Abonenin bir SO değil son kullanıcı Abone olması ve bir herhangi bir Sertifikayı (veya başka herhangi bir onaylanmış açık anahtar formatını) ya da CRL’yi bir SO yetkisiyle veya başka bir yetkiyle dijital olarak imzalamak maksadıyla Sertifikada listelenen herhangi bir açık anahtara karşılık gelen kapalı anahtarın kullanıyor olmaması. Diğer Abonelik Anlaşmaları da bu şartları içerecektir. Bununla birlikte, bir Abonenin Sertifika Başvurusunun bir Managed PKI Müşterisince Managed PKI Key Manager sunumu kullanılarak onaylanması durumunda, Abone, sadece, kendi donanım/yazılım platformundaki Abone kapalı anahtarının kopyasına daha önce hiçbir yetkisiz kişinin erişmediğini garanti eder. Bu Aboneler, kapalı anahtarın, Managed PKI Key Manager’ı kullanan Managed PKI Müşterilerinin sahip olduğu kopyalarıyla ilgili garanti vermez. 2.2.3.2 Kapalı Anahtarın Korunması SP, Abonelik Anlaşmalarına SUH § 6.2.7.1’e göre dahil edilen kapalı anahtarların korunması için VTN Standartlarını belirler. Abonelik Anlaşmaları, bu VTN Standartlarını karşılamayan Abonelerin bundan kaynaklanan kayıp veya hasardan tek başına sorumlu olduğunu belirtir. 2.2.4 İtimat Eden Tarafların Sorumluluğu Abonelik Anlaşmaları ve İtimat Eden Taraf Anlaşmaları, İtimat Eden Tarafların, işlem yapmak için bir Sertifikada yer alan bilgileri ne ölçüde esas alacakları konusunda karar almak için yeterli bilgiye sahip olduklarını, bu bilgileri kullanıp kullanmama konusunda karar vermekten tek başlarına sorumlu olduklarını ve SUH § 2.1.4’deki İtimat Eden Tarafın sorumluluklarını yerine getirmedikleri takdirde bunun yasal sonuçlarına katlanacaklarını kabul etmelerini gerektirir. 2.3 Mali Sorumluluk 2.3.1 Abonelerin ve İtimat Eden Tarafların Ödeyecekleri Tazminat 2.3.1.1 Abonelerin Ödeyecekleri Tazminat Yürürlükte olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmelerin izin verdiği sınırlar içerisinde, e-Güven’in Abonelik Anlaşması, aşağıdaki durumlarda Abonelerin e-Güven’in ve - 24 - onun alt alanında bulunan SO’ların veya KO’ların zararını tazmin etmesi şartını içerir ve ileride yapılacak Abonelik Anlaşmaları da bu şartı içerecektir: • • • Abonenin Sertifika Başvurusunda herhangi bir durumu, bilgiyi veya belgeyi kasten veya ihmali olarak hatalı olarak bildirmesi. Abonenin kapalı anahtarı korumaması, güvenilir sistemler kullanmaması veya Abonenin kapalı anahtarının tehdit altında olması, kaybı, ifşa edilmesi, değiştirilmesi, üçüncü kişiler tarafından erişimi veya yetkisiz kullanımını önlemek için gereken diğer önlemleri almaması. Abonenin bir üçüncü şahsın Fikri Mülkiyet veya Kişilik Haklarını ihlal eden bir ad (ortak bir ad, alan adı veya e-posta adresi de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla) kullanması. 2.3.1.2 İtimat Eden Tarafların Ödeyecekleri Tazminat Yürürlükte olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmelerin izin verdiği sınırlar içerisinde, e-Güven’in Abonelik Anlaşması, aşağıdaki durumlarda İtimat Eden Tarafların eGüven’in ve onun alt alanında bulunan SO’ların veya KO’ların zararını tazmin etmesi şartını içerir ve ileride yapılacak İtimat Eden Taraflar Anlaşmaları da bu şartı içerecektir: • • • İtimat Eden Tarafın, İtimat Eden Tarafa sözleşme veya kanunla yüklenen sorumluluğunu yerine getirmemesi İtimat Eden Tarafın, mevcut koşullarda gerekli özeni göstermeyerek geçerli olmayan bir Sertifikaya dayanarak işlem yapması. İtimat Eden Tarafın bir Sertifikanın süresinin dolup dolmadığını veya iptal edilip edilmediğini belirlemek için bu Sertifikanın durumunu kontrol etmemesi. 2.3.2 Güvene Dayalı İlişki Bir tarafta e-Güven veya onun alt alanında yer alan ve e-Güven’in mülkiyetinde olmayan bir SO ya da KO ile diğer tarafta bir Abone veya İtimat Eden Taraflar arasında kurulan ilişki Yürürlükte olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmelerin izin verdiği sınırlar içerisinde güvene dayalı bir ilişkidir. Bu ilişkinin niteliği, kural ve koşulları yürürlükte olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmeler ile belirlenir. 2.3.3 İdari Süreçler Managed PKI Müşterileri operasyonlarını yürütebilmek ve görevlerini yerine getirebilmek için yeterli mali kaynaklara sahip olacak ve Aboneler ile İtimat Eden Taraflara karşı olan sorumluluklarının risklerini taşıyabilecek durumda olacaktır. Managed PKI Müşterileri, ayrıca, hata ve ihmallere karşı ticari açıdan makul düzeyde bir sigorta teminatına sahip olacak ve bu teminatı ya kendi içlerinde oluşturdukları bir fonla, ya da bir sigorta şirketleriyle yaptıkları anlaşma gereğince hata ve ihmallere karşı oluşabilecek riskleri kapsayan bir sigorta programıyla sağlayacaktır. Bu sigorta koşulu devlet daireleri ve resmi kuruluşlar için geçerli değildir. eGüven, hata ve ihmallere karşı kendi içinde bir sigorta teminatı sistemine sahiptir. - 25 - 2.4 Yorumlama ve Uygulama Kanunları 2.4.1 Uygulanacak Hukuk İşbu SUH’nin uygulanması, oluşturulması, yorumlanması ve geçerlilik süresi, sözleşmeden veya diğer kanunlar ihtilafı maddelerinden bağımsız olarak (Türk Hukuknda Kanunlar İhtilafının Düzenleyen Mevzuat da Dahil Olmak Üzere); Türkiye’de bir ticari bağlantı kurma şartına bağlı olmadan Türk Hukukuna tâbi olacak ve Türk Hukukuna göre uygulanacak ve yorumlanacaktır. Uygulanacak hukukukla ilgili yapılan bu seçiminin amacı, nerede bulunursa bulunsun bütün eGüven Altalanı Katılımcıları için tekdüzen prosedürler oluşturulması ve yorumlama yapılmasını sağlamaktır. İşbu madde ile uygulanacak hukukun seçimi sözleşmenin yabancılık unsuru kazanmasını sağlamaz. İşbu madde ile belirlenen ve tespit edilen hukuki durum ve sonuçlar sadece bu SUH için geçerlidir. SUH’a atıfta bulunulan anlaşmalarda uygulanacak hukuk maddeleri diğer anlaşmalara göre farklı olabilir; ancak bu durumda, uygulanacak hukukta belirtilen sınırlamalar geçerli olmak üzere (Kanunlar İhtilafı Kuralları Hariç Olmak Üzere), işbu anlaşmaların diğer hükümlerinden ayrı olarak bu SUH’nin hükümlerinin uygulanabilirliği, oluşturulması, yorumlanması ve geçerlilik süresi SUH § 2.4.1’e göre düzenlenmiş olacaktır. İşbu SUH, yazılım, donanım veya teknik bilgilerin ihracı veya ithaliyle ilgili sınırlamalar da dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla Türk Hukukuna tâbidir. 2.4.2 Bölünebilirlik, Post – Contractus Hükümler, , Bütünlük, İhbar e-Güven’in Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmaları bölünebilirlik, postcontractus hükümler, bütünlük ve ihbar hükümleri içerir ve ileride yapılacak Abonelik Anlaşmaları da bu hükümleri içerecektir. Bir anlaşmadaki bölünebilirlik hükmü, anlaşmadaki bir maddenin geçerliliğinin veya uygulanabilirliğinin sona erdiği yönünde yapılan bir tespitin anlaşmanın diğer hükümlerinin de geçersiz olmasını önler. Post – Contractus Hükümler, anlaşma feshedilmesine veya sona ermesine rağmen yürürlükte kalacak hükümleri belirtir. Bütünlük hükmü, anlaşmanın konusuyla ilgili tüm mutabakatın anlaşmaya dahil edildiğini belirtir. Bir anlaşmadaki ihbar hükmü, tarafların birbirlerine nasıl ihbarda bulunacağını belirtir. 2.4.3 Uyuşmazlıkların Çözüm Yolları 2.4.3.1 e-Güven ile Müşteriler Arasındaki İhtilaflar e-Güven ile onun Müşterilerinden biri arasındaki çıkan ve çıkabilecek ihtilaflar, taraflar arasında yapılan ilgili anlaşmanın hükümlerine göre çözülecektir. 2.4.3.2 Son Kullanıcı Abonelerle ve İtimat Eden Taraflar Arasındaki İhtilaflar Yürürlükte olan mevzuatın izin verdiği sınırlar içerisinde, e-Güven’in Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmaları uyuşmazlıkların çözümüne yönelik bir hükmü içerir ve ileride yapılacak Abonelik Anlaşmaları da bu hükmü içerecektir. - 26 - 2.5 Ücretler 2.5.1 Sertifika Düzenleme veya Yenileme Ücretleri e-Güven ve Müşteriler, Sertifikaların düzenlenmesi, yönetimi ve yenilenmesi için son kullanıcı Abonelere ücret tahakkuk ettirmeye yetkilidir. 2.5.2 Sertifika Erişim Ücretleri e-Güven ve Müşteriler, bir Sertifikanın veritabanından sorgulanmasını veya başka herhangi bir şekilde İtimat Eden Tarafların kullanımına sunulmasının bir koşulu olarak herhangi bir ücret tahakkuk ettirmez. 2.5.3 İptal veya Durum Bilgisi Erişim Ücretleri e-Güven, SUH § 4.4.9’un öngördüğü CRL’lerin bir veritabanından sorgulanmasının veya başka herhangi bir şekilde İtimat Eden Tarafların kullanımına sunulmasının bir koşulu olarak bir ücret tahakkuk ettirmez. Ancak, e-Güven, kişiselleştirilmiş CRL’ler, OCSP servisleri veya diğer katma değerli iptal ve durum bilgisi servisleri için ücret tahakkuk ettirir. e-Güven, kendisinin önceden açık yazılı izni olmadan Sertifika durum bilgisinden yararlanarak ürünler veya hizmetler sunan üçüncü şahısların veri tabanlarında bulunan iptal bilgisine, Sertifika durum bilgisine veya zaman damgası bilgisine veya hizmetine erişime izin vermez. 2.5.4 Politika Bilgisi Gibi Diğer Servislerin Ücretleri e-Güven,SP’ye veya bu SUH’a erişim için bir ücret tahakkuk ettirmez. Çoğaltma, başkalarına dağıtma, değişiklik veya işleme gibi dokümanın inceleme haricindeki amaçlarla kullanımı, dokümanın telif hakkını elinde bulunduran kuruluşla yapılan lisans anlaşmasına tâbidir. 2.5.5 Geri Ödeme Politikası e-Güven Alt alanında, aşağıdaki geri ödeme politikası (http://www.eguven.com/repository/refund/ adresinden bir kopyası temin edilebilir) yürürlüktedir: e-Güven, sertifikalandırma işlemlerinin yapılmasında ve sertifikaların düzenlenmesinde sıkı uygulamalara ve politikalara bağlı kalır. Bununla birlikte, herhangi bir sebeple bir abone kendisine verilen sertifikadan tam tatmin olmazsa, sertifikanın düzenlenmesinden itibaren otuz (30) gün içinde e-Güven’in sertifikayı iptal etmesini ve ödediği paranın kendisine iade edilmesini isteyebilir. İlk otuz (30) günlük periyodun bitiminden sonra, e-Güven, aboneyle veya abonenin sertifikasıyla ilgili olarak bu SUH altında taahhüt edilen herhangi bir hususu veya başka bir asli sorumluluğunu yerine getirmemişse, bir abone, e-Güven’in sertifikayı iptal etmesini ve ödediği paranın kendisine iade edilmesini isteyebilir. e-Güven’in abonenin sertifikasını iptal etmesinin ardından, e-Güven, sertifika için - 27 - ödenen ücretlerin tamamını derhal abonenin kredi kartı hesabına alacaklandırır ya da aboneye çekle geri ödeme yapar veya abonenin bildirdiği banka hesabına EFT veya havale ile ödemede bulunur. Bir geri ödeme talebi için e-Güven tarafından web sitesinden ilan edilecek olan müşteri servisleri hizmetlerini arayınız. İşbu madde hükmü içersinde açıklanan geri ödeme politikası sertifikalarla ilgili gelebilecek şikayetlerle ilgili tek çözüm değildir ve abonelere sunulabilecek diğer çözümlere sınırlama getirmez. İşbu madde hükmü yalnızca e-Güven’e doğrudan başvurarak sertifika alma talebinde bulunan son kullanıcılar için geçerlidir. 2.6 Yayınlama ve Veri Depolama 2.6.1 SO Bilgisinin Yayınlanması VeriSign ve e-Güven aşağıdakiler için veri depolama işlevinden sorumludur: • • • VeriSign’ın Ana Sertifikalandırma Otoriteleri (PCA’lar) ve VTN’yi destekleyen VeriSign Altyapı/İdari SO’ları e-Güven, e-Güven’in Altyapısı, İdari SO’ları için veri depolama işlevinden sorumludur e-Güven, VTN’nin e-Güven Altalanında Sertifikalar düzenleyen e-Güven SO’ları, Managed PKI Müşterileri SO’ları ve ASB Müşterileri SO’ları için veri depolama işlevinden sorumludur. e-Güven, http://www.e-guven.com/repository/ adresindeki web sitesinin veri bankası bölümünde belirli SO bilgilerini aşağıda tarif edildiği gibi yayınlar. e-Güven, web sitesinin veri bankası bölümünde VeriSign VTN SP, bu SUH, Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarını yayınlar. e-Güven, Sertifikaları aşağıdaki Tablo 7’ye göre yayınlar. Sertifika Tipi Ana SO Sertifikalarını Düzenleyen VeriSign PCA ve VeriSign SO Sertifikaları Düzenleyen e-Güven Managed PKI Lite Sertifikalarını Destekleyen e-Güven SO’sının Sertifikası ve Managed PKI Müşterilerinin SO Sertifikaları Yayın Şartları Aşağıda tarif edilen sorgulama işlevleri kullanılarak son kullanıcı Abone Sertifikasıyla temin edilebilecek bir Sertifika Zincirinin bir parçası olarak ve güncel tarama yazılımına dahil edilerek İtimat Eden Taraflarca kullanılabilir. Aşağıda tarif edilen sorgulama işlevleri kullanılarak son kullanıcı Abone Sertifikasıyla temin edilebilecek bir Sertifika Zincirinin bir parçası olarak İtimat Eden Taraflarca kullanılabilir. “directory.e-guven.com” adresindeki e-Güven LDAP dizin sunucusu sorgulanarak kullanılabilir. - 28 - Sertifika Tipi VeriSign OCSP Cevaplandırma Ünitesi Sertifikaları Son Kullanıcı Abone Sertifikaları Yayın Şartları “directory.e-guven.com” adresindeki E-Güven LDAP dizin sunucusu sorgulanarak kullanılabilir. Aşağıdaki adreste bulunan e-Güven veri tabanındaki sorgulama işlevleri vasıtasıyla işlem taraflarınca kullanılabilir: • https://digitalid.e-guven.com/repository “directory.verisign.com” adresindeki VeriSign LDAP dizin sunucusu sorgulanarak da kullanılabilir. Managed PKI Müşterileri Takdir hakkı Managed PKI Müşterisinde olmak üzere, Sertifikaya, Vasıtasıyla Düzenlenen sadece, Sertifikanın seri numarası kullanılarak bir tarama yapmak Son Kullanıcı Abone suretiyle erişilebilmesine rağmen, yukarıda listelenen sorgulama Sertifikaları işlevleriyle kullanılabilir. Tablo 7 – Sertifika Yayın Şartları e-Güven, SUH § 4.4.11’e göre Sertifika durum bilgisi yayınlar. 2.6.2 Yayınlama Sıklığı Bu SUH’de yapılan güncellemeler SUH § 8’e göre yayınlanır. Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmaları gerekli görülen hallerde yayınlanır. Sertifikalar düzenlendikleri tarihte yayınlanır. Sertifika durum bilgisi SUH §§ 4.4.9 ve 4.4.11’e göre yayınlanır. 2.6.3 Erişim Kontrolleri e-Güven web sitesinin veri tabanı kullanılarak yayınlanan bilgiler herkese açık bilgilerdir. Bu bilgilere salt okunur erişim sınırsızdır. e-Güven, Sertifikalara, Sertifika durum bilgisine veya CRL’lere erişim koşulu olarak bir İtimat Eden Taraflar Anlaşması veya CRL Kullanım Anlaşmasının kabul edilmesini öngörür. e-Güven, yetkisiz kişilerin veri tabanına yetkisiz şekilde erişerek çeşitli ekleme, silme veya değişiklik yapmasını önlemek için lojik ve fiziksel güvenlik önlemleri almıştır. 2.6.4 Veri Bankaları (Tabanları) Bkz. SUH § 2.1.5. 2.7 Uygunluk Denetimi e-Güven’in genel ve Managed PKI SO servislerini destekleyen veri merkezi operasyonları ve anahtar yönetimi operasyonları için yılda bir kez SAS 70 Tip II veya denk bir denetim yapılır. Ayrıca, SUH § 1.3.1’de belirtilen VTN Ana SO’ları, Sınıf 3 Kurumsal SO’ları, Sınıf 2 Kurumsal ve Bireysel SO’ları ve Sınıf 1 Bireysel SO’ları için yıllık “Sertifika Otoriteleri için WebTrust” incelemesi yapılır. Müşteri gerekli görmedikçe Müşteriye özel SO’lar üzerinde e-Güven operasyonlarıyla ilgili denetiminin bir parçası olarak denetim yapılmaz. e-Güven, bu SUH § 2.7 - 29 - ve bu tip Müşteriler için hazırlanmış denetim programları altında, Managed PKI Müşterilerinin bir uygunluk denetimine tâbi tutulmasını istemeye yetkilidir. e-Güven, uygunluk denetimlerine ilave olarak, VTN’nin e-Güven Alt alanının güvenilirliğini sağlamak için aşağıdakiler de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla başka inceleme ve araştırmalar yapmaya yetkili olacaktır: • • e-Güven veya onun yetkili temsilcisi, denetlenen kuruluşun, VTN’nin güvenliğini veya bütünlüğünü tehlikeye sokabilecek gerçek veya potansiyel bir tehdit oluşturabilecek düzeyde VTN Standartlarını karşılamadığı, bu yönde bir olay veya tehditle karşılaştığı ya da buna zemin oluşturacak şekilde hareket ettiği veya gerekeni yapmadığıyla ilgili kanaatini oluşturacak bir sebep gördüğü takdirde, e-Güven veya onun yetkili temsilcisi, takdir hakkı kendisinde olmak üzere, kendisi veya bir Müşterisi üzerinde herhangi bir zamanda “Acil Denetim/Araştırma” yapmaya yetkili olacaktır. e-Güven veya onun yetkili temsilcisi, bir Uygunluk Denetiminde hata veya eksiklik bulgularının ardından ya da normal faaliyetleri içerisinde genel risk yönetimi sürecinin bir parçası olarak kendisi veya bir Müşterisi üzerinde “Ek Risk Yönetimi İncelemeleri” yapmaya yetkili olacaktır. e-Güven veya onun yetkili temsilcisi, bu denetimleri, incelemeleri ve araştırmaları yerine getirme görevini bir üçüncü şahıs denetim firmasına yaptırma konusunda yetkilidir.. 2.7.1 Kuruluş Uygunluk Denetiminin Sıklığı Uygunluk denetimleri, masrafları denetlenen kuruluşça karşılanmak üzere yıllık esasta yapılır. 2.7.2 Denetçinin Kimliği/Nitelikleri e-Güven’in SO uygunluk denetimleri aşağıdaki özelliklere sahip bir muhasebe ve denetim firması tarafından yapılır: • • Açık Anahtar Alt Yapısı teknolojisinde, bilgi güvenliği araç ve tekniklerinde, güvenlik denetimlerinde ve bağımsız üçüncü kişi denetimi işlerinde uzman olması. Belirli becerilere sahip olduğu, kendisiyle aynı uzmanlık grubunda yer alan ve hiyerarşik olarak eşdeğer düzeydeki kişilerce yapılan inceleme, uzmanlık testi, personelin görevlere uygun şekilde tahsisiyle ilgili standartlar ve sürekli mesleki eğitim şartları gibi kalite güvence ve yeterlilik niteliklerine sahip olduğu Amerikan Onaylı Muhasebeciler Enstitüsü (AISPA) veya Türkiye’de bu tür akreditasyona yetkili bir kuruluşça onaylanmış olması. 2.7.3 Denetçinin Denetlenen Tarafla İlişkisi e-Güven’in operasyonlarının uygunluk denetimleri e-Güven’den bağımsız bir muhasebe ve denetim firmasınca yapılır. - 30 - 2.7.4 Denetim Kapsamındaki Konular. e-Güven’in yıllık SAS 70 Tip II denetimi veya bu denetimle aynı çerçevedeki bir denetim, SO çevresel kontrollerini, anahtar yönetimi işlemlerini ve Altyapı/İdari SO kontrollerini kapsar. 2.7.5 Bir Eksiklik İçin Alınan Önlemler e-Güven’in operasyonlarının uygunluk denetimiyle ilgili olarak, Uygunluk Denetimi sırasında belirlenen önemli hatalar ve eksiklikler sonucu alınacak önlemler tespit edilir. Bu tespit, e-Güven yönetimince ve denetçinin verdiği bilgiler doğrultusunda yapılır. e-Güven bir düzeltici eylem planı geliştirmekten ve uygulamaktan sorumludur. e-Güven, bu hata ve eksikliklerin VTN’nin güvenliği veya bütünlüğü üzerinde bir tehdit oluşturduğunu tespit ederse, 30 gün içinde bir düzeltici eylem planı geliştirir ve ticari açıdan makul bir süre içinde uygular. Önem derecesi biraz daha düşük olan hata ve eksiklikler için, e-Güven Yönetimi bu hususların önem derecesine göre değerlendirir ve uygun hareket tarzını tespit eder. 2.7.6 Sonuçların İletilmesi e-Güven’in operasyonlarının uygunluk denetimine ait sonuçlar e-Güven yönetiminin inisiyatifinde açıklanabilir. 2.8 Gizlilik ve Özel Bilgi e-Güven SP § 2.8’e uygun olarak http://www.e-guven.com/privacy adresinde yer alan bir özel bilgi politikası uygulamaktadır. 2.8.1 Gizli ve Özel Bilgi Kapsamında Tutulacak Bilgi Çeşitleri Aşağıdaki Abone kayıtları SUH § 2.8.2’ye tâbi olarak gizli ve özel bilgi kapsamında tutulur (“Gizli/Özel Bilgi”): • • • • • • • • Onaylanmış veya reddedilmiş SO başvuru kayıtları. Sertifika Başvuru kayıtları (SUH § 2.8.2’ye tâbi). Managed PKI Key Manager’ı kullanan Managed PKI Müşterilerinin kapalı anahtarları ve bu kapalı anahtarları kurtarmak için gereken bilgiler. İşlem kayıtları (hem tam kayıtlar, hem de işlemlerin denetim kayıtları). VeriSign’ın, e-Güven’in, Küresel Ortakların veya bir Müşterinin oluşturduğu veya tuttuğu VTN denetim kayıtları. e-Güven’in veya onun ilgili denetçilerinin oluşturduğu e-Güven denetim kayıtları (şirket içi veya genel). Acil durum planları ve felaketten kurtarma planları. e-Güven’in donanım ve yazılım operasyonları ile Sertifika servislerinin ve belirtilen kayıt servislerinin idaresini kontrol eden güvenlik önlemleri. - 31 - 2.8.2 Gizli veya Özel Bilgi Kabul Edilmeyen Bilgi Çeşitleri e-Güven Altalanı Katılımcıları, Sertifikaların, Sertifika iptali ve diğer durum bilgilerinin, EGüven veri bankasının ve bunlar içindeki bilgilerin Gizli/Özel Bilgi olarak değerlendirilmediğini kabul eder. SUH § 2.8.1 altında açıkça Gizli/Özel Bilgi olarak kabul edilmeyen bilgiler ne gizli, ne de özel bilgi olarak değerlendirilir. Bu bölümle ilgili yürürlükteki mevzuat hükümleri saklıdır. 2.8.3 Sertifika İptal/Askıya Alma Bilgisinin İfşa Edilmesi Bkz. SUH § 2.8.2. 2.8.4 Bilgilerin Resmi Makamlara Açıklanması e-Güven Altalanı Katılımcıları, e-Güven’in, yürürlükteki emredici mevzuat hükümleri gereğince resmi makamlara açıklama yapmakla yükümlü olduğu durumlar içersinde, resmi makamlarca yürürlükteki emredici mevzuat hükümlerine uygun bir şekilde talep edilmesi halinde gizli/özel bilgileri resmi makamlara açıklamaya yetkili olacağını kabul eder. 2.8.5 Bilgilerin Hukuk Davaları Sırasında Yapılan İstemler Üzerine Açıklanması e-Güven Altalanı Katılımcıları, e-Güven’in, iyi niyet çerçevesinde, mahkeme celpleri, soruşturma evrakı, karşılıklı dilekçeler, delil ve doküman talepleri gibi hukuk veya idari davalarla ilgili keşif süreci sırasında adli, idari veya diğer yasal süreçlere cevaben gerekli olduğunu düşünmesi halinde gizli/özel bilgileri açıklamaya yetkili olacağını kabul eder. 2.8.6 Bilgi Sahibinin Talebi Üzerine Açıklama e-Güven’in gizlilik politikası, Gizli/Özel Bilgilerin, bu bilgileri e-Güven’e açıklayan kişiye açıklanmasına dair hükümler içerir. 2.8.7 Diğer Bilgi Açıklama Koşulları Koşul yoktur. 2.9 Fikri Mülkiyet Hakları Fikri Mülkiyet Haklarının, Aboneler ve İtimat Eden Taraflar haricindeki e-Güven Altalanı Katılımcıları arasında hangi sujelere ait olduğu, e-Güven Altalanı Katılımcıları arasında yürürlükte bulunan anlaşmalarla düzenlenir. SUH § 2.9’a ait aşağıdaki altbölümler, Aboneler ve İtimat Eden Taraflarla ilgili Fikri Mülkiyet Hakları için geçerlidir. 2.9.1 Sertifikalar ve İptal Bilgisinin Mülkiyet Hakları SO’lar, yayınladıkları Sertifikalar ve iptal bilgileriyle ilgili bütün Fikri Mülkiyet Haklarını ellerinde bulundurur. e-Güven ve Müşteriler, Sertifikaların çoğaltılmasına ve dağıtılmasına, bir bütün halinde çoğaltılmaları ve kullanımlarının Sertifikada atıfta bulunulan İtimat Eden Taraflar Anlaşmasına tâbi olması ve yazılı olarak başvurulması halinde, herhangi bir lisans ücreti talep etmeden izin verme hakkını saklı tutmaktadır. E-Güven ve Müşteriler tarafından verilecek bu , - 32 - bu izin hiçbir şekilde taraflara münhasırlık tanımaz. e-Güven ve Müşteriler, yürürlükteki CRL Kullanım Anlaşması, İtimat Eden Taraflar Anlaşması veya yürürlükteki başka herhangi bir anlaşmaya tâbi olarak İtimat Eden Tarafların işlevlerini yerine getirmesi için gereken iptal bilgisinin kullanılmasına izin verir. 2.9.2 SP’nin ve SUH’un Mülkiyet Hakları e-Güven Altalanı Katılımcıları, e-Güven’in işbu SUH ve SP ile ilgili bütün Fikri Mülkiyet Haklarına müstakilen ve münhasıran sahip olduğunu kabul eder. . 2.9.3 İsim ve Marka Üzerindeki Hakları Bir Sertifika Başvuru Sahibi, sertifika başvurusunda yer alan herhangi bir ticari marka, hizmet markası, servis işareti veya ticari isim, ünvan ve Sertifika Başvuru Sahibine verilen bir Sertifikadaki özgün isimle ilgili sahip olduğu (varsa) bütün hakları mahfuzdur. 2.9.4 Anahtarların ve Anahtar Malzemesinin Mülkiyet Hakları SO’ların ve son kullanıcı Abonelerin Sertifikalarına karşılık gelen anahtar çiftleri, bunların saklandığı ve korunduğu fiziksel ortamdan bağımsız olarak; Managed PKI Key Manager’ı kullanan Managed PKI Müşterileriyle abonelerin akdettikleri sözleşme hükümleri çerçevesinde , bu Sertifikaları yayınlayan SO’ların ve son kullanıcı Abonelerin mülkiyetindedir ve bu kişiler bu anahtar çiftleriyle ilgili bütün Fikri Mülkiyet Haklarına sahiptirler. Yukarıdaki hükümler saklı kalmak kaydıyla, bütün PCA açık anahtarları ve kendinden imzalı Sertifikalar dahil olmak üzere VeriSign’ın kök açık anahtarı ve bunları içeren kök Sertifikalar VeriSign’ın mülkiyetindedir. VeriSign, güvenilir donanım cihazlarına ve yazılımlara kopyalar koymak amacıyla bu ana Sertifikaları çoğaltmak için yazılım ve donanım üreticilerine lisans verir. Son olarak, yukarıdaki hükümlerin genelliğini sınırlamaksızın, bir SO’nun kapalı anahtarı Kapalı Anahtar Grupları SO’nun mülkiyetindedir ve SO bu Kapalı Anahtar Gruplarıyla ilgili bütün Fikri Mülkiyet Haklarına sahiptir.. 3. Tanımlama ve Kimlik Kontrolü 3.1 İlk Kayıt 3.1.1 İsim Tipleri e-Güven SO Sertifikaları, Düzenleyen ve Konu alanlarında X.501 Özgün İsim içerir. e-Güven SO Özgün İsimleri aşağıdaki Tablo 8’de belirtilen elemanlardan oluşur. Özellik Ülke (C) = Kurum (O) = Değer Türkiye’dir, “ABD”dir veya kullanılmaz. “RSA Data Security, Inc.”i gösteren, fakat şu anda bir VeriSign SO’su olan Güvenli Sunucu SO’su hariç olmak üzere “VeriSign, Inc.” veya e-Güven. - 33 - Özellik Kurumsal Birim (OU) = Eyalet veya Şehir (S) = Mahal (L) = Ortak İsim (CN) = Değer e-Güven SO Sertifikaları birden fazla OU özelliği içerebilir. Bu özellikler aşağıdakilerden birini veya daha fazlasını kapsayabilir: • SO İsmi • VeriSign Trust Network • Sertifikanın kullanımıyla ilgili hükümleri düzenleyen ilgili İtimat Eden Taraflar Anlaşmasına atıfta bulunan bir ifade • Bir telif hakkı uyarısı Kullanılmaz “Internet”i kullanan VeriSign Ticari Yazılım Yayıncıları SO’su haricinde kullanılmaz. Bu özellik SO İsmini içerir (SO İsmi OU özelliğinde belirtilmemişse) veya kullanılmaz. Tablo 8 – SO Sertifikalarındaki Özgün İsim Özellikleri Son kullanıcı Abone Sertifikaları, Konu ismi alanında bir X.501 özgün ismi içerir ve aşağıdaki Tablo 9’da belirtilen elemanlardan oluşur. Özellik Ülke (C) = Kurum (O) = Değer Türkiye veya kullanılmaz. Kurum özelliği aşağıdaki gibi kullanılır: • Kurumsal Birim (OU) = Şehir (S) = Mahal (L) = Ortak İsim (CN) = e-Güven OCSP Cevaplandırma Ünitesi ve bireysel Sertifikalar için “e-Güven” • Web sunucu Sertifikaları için Abone kurumsal ismi. e-Güven son kullanıcı Abone Sertifikaları birden fazla OU özelliği içerebilir. Bu özellikler aşağıdakilerden birini veya daha fazlasını kapsayabilir: • Abone kurumsal birimi (kurumsal Sertifikalar için) • VeriSign Trust Network • Sertifikanın kullanımıyla ilgili hükümleri düzenleyen ilgili İtimat Eden Taraflar Anlaşmasına atıfta bulunan bir ifade • Bir telif hakkı uyarısı • Başvurularının kimlik kontrolü e-Güven tarafından yapılan Sertifikalarda “e-Güven’ce Kimlik Kontrolü Yapılmıştır” ve “Üye, VeriSign Trust Network” ibaresi. • Sınıf 1 Bireysel Sertifikalar için “Geçerlilik Kontrolü Yapılmamış Kişi” ibaresi. • Sertifikanın tipini tarif eden bir metin. Abonenin Şehrini gösterir ya da kullanılmaz. Abonenin bulunduğu mahalli gösterir veya kullanılmaz. Bu özellik aşağıdakileri içerir: - 34 - Özellik E-Posta Adresi (E) = Değer • OCSP Cevaplandırma Ünitesi İsmi (OCSP Cevaplandırma Ünitesi Sertifikaları için) • Alan adı (web sunucu Sertifikaları için) • Kurum adı (anahtar/nesne imzalama Sertifikaları için) • İsim (bireysel Sertifikalar için). Sınıf 1 bireysel Sertifikalar için e-posta adresi. Tablo 9 – Son Kullanıcı Abone Sertifikalarındaki Özgün İsim Özellikleri Sınıf 2-3 Sertifikalarda, Son kullanıcı Abone Sertifikalarının Konu özgün isminin Ortak İsim (CN=) elemanının kimlik kontrolü yapılır. • • • Kurumsal Sertifikaların Konu özgün isimlerinde yer alan kimlik kontrolü yapılmış ortak isim değeri bir alan adı (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri durumunda) veya kurumun ya da kurum içindeki birimin resmi kayıtlarda geçen ismidir. Sınıf 3 kurumsal ASB Sertifikasının Konu özgün isminde yer alan kimlik kontrolü yapılmış ortak isim değeri, genelde, kurum adına ve hesabına kapalı anahtarı kullanmaya yetkili kurum temsilcisinin güvenilir belgelere dayanarak tespit edilmiş ad ve soyadı ve kurum (O=) elemanı da kurumun tescil edilmiş ticari ünvanı veya ismidir. Bireysel Sertifikaların Konu özgün isminde yer alan ortak isim değeri, bireyin genelde kabul edilen kişisel ismini temsil eder. 3.1.2 İsimlerin Anlamlı Olması Gereksinimi Sınıf 2 ve 3 son kullanıcı Abone Sertifikaları, Sertifika Konusu olan bireyin veya kurumun kimliğinin belirlenmesine olanak sağlayan, genelde bilinen anlamlara sahip isimler içerir. Bu tip Sertifikalar için son kullanıcı Abonelerin takma isimlerine (bir abonenin gerçek kişisel veya kurumsal isminin dışındaki isimler) izin verilmez. Takma isim kullanımına ancak Sınıf 1 son kullanıcı Abone Sertifikaları için izin verilir. e-Güven CA Sertifikaları, Sertifika Konusu olan CA’nın kimliğinin belirlenmesine olanak sağlayan, genelde bilinen anlamlara sahip isimler içerir. 3.1.3 Çeşitli İsim Formlarının Yorumlanmasına Dair Kurallar Koşul yoktur. 3.1.4 İsimlerin Tek Olması e-Güven, Konu Özgün İsimlerinin, Abone kayıt prosesine ait otomatik elemanlar vasıtasıyla belirli bir SO’nun alanı içinde tek olmasını sağlar. - 35 - 3.1.5 İsim İhtilaflarını Çözme Prosedürü Sertifika Başvuru Sahiplerinin, Sertifika Başvurularında başkalarının Fikri Mülkiyet Haklarını ihlal eden isimler kullanmaları yasaktır. e-Güven, Sertifika Başvuru Sahibinin bir Sertifika Başvurusunda gösterilen isim üzerinde Fikri Mülkiyet Hakkı bulunup bulunmadığını doğrulamaz ya da herhangi bir alan adı, ticari unvan, isim, ticari marka, hizmet markası veya servis işaretinin mülkiyetiyle ilgili herhangi bir ihtilafta hakemlik veya aracılık yapmaz ya da bu ihtilafı herhangi bir şekilde çözmeye çalışmaz. e-Güven, Sertifika Başvuru Sahibine sorumluluk yüklemeksizin, bu tip bir ihtilaftan dolayı herhangi bir Sertifika Başvurusunu reddetmeye veya askıya almaya yetkilidir. 3.1.6 Ticari Markaların Tanınması, Onaylanması ve İşlevi Bkz. SUH § 3.1.5. 3.1.7 Kapalı Anahtara Sahip Olunduğunu Kanıtlama Yöntemi e-Güven, Sertifika Başvuru Sahibinin bir kapalı anahtara sahip olduğunu, PKCS #10’la ilgili olarak dijital imzalı bir sertifikanın kullanımıyla, şifreleme açısından eşdeğer başka bir kanıtla veya e-Güven onaylı başka bir yöntemle doğrular. e-Güven’in bir Abone adına bir kapalı anahtar oluşturduğu durumlarda (örneğin, önceden oluşturulmuş anahtarların akıllı kartlara yerleştirilmesi) bu şart geçerli değildir. 3.1.8 Kurumun Kimliğinin Kontrolü e-Güven, Sınıf 3 kurumsal son kullanıcı Abonelerinin kimliğini ve Sertifika Başvuru Sahiplerinin verdiği diğer kayıt bilgilerini (Doğrulanmamış Abone Bilgileri hariç), aşağıdaki altbölümlerde verilen prosedürlere göre doğrular. Aşağıdaki prosedürlere ilave olarak, Sertifika Başvuru Sahibi, SUH § 3.1.7’ye göre Sertifikada bulunan açık anahtara karşılık gelen kapalı anahtara sahip olduğunu ve bu anahtara kullanmaya yetkili olduğunu kanıtlamalıdır.. 3.1.8.1 Kurumsal Son Kullanıcı Abonelerin Kimlik Kontrolü 3.1.8.1.1 Perakende Kurumsal Sertifikalar için Kimlik Kontrolü e-Güven, bir Perakende kurumsal Sertifika için Sertifika Başvuru Sahibinin kimliğini aşağıdaki gibi doğrular: • • En az bir üçüncü şahıs kimlik kanıtlama servisi veya veri tabanı ya da alternatif olarak, kurumun varlığını doğrulayan ilgili resmi makamlarca verilmiş resmi dokümanları kullanarak. Kurumla ilgili belirli bilgileri, Kurumun Sertifika Başvurusu yapmaya ve Kurum adına Sertifika Başvurusunda bulunan kişinin bu işlemi yapmaya yetkili olduğunu doğrulamak için yetkili bir Kurum irtibat görevlisiyle telefon, posta veya benzeri bir prosedürü kullanarak irtibat kurarak. - 36 - Aşağıdaki Tablo 10’da tarif edilen belirli tipte Sertifikalar için ilave prosedürler yerine getirilir. Sertifika Tipi Bütün Sunucu Sertifikaları İlave Prosedürler e-Güven, Sertifika Başvuru Sahibinin, Sertifika Konusu olan sunucunun alan adının kayıt sahibi olduğunu, aksi takdirde alanı kullanmaya yetkili olduğunu doğrular. Global Sunucu Kimlikleri e-Güven, ilgili resmi makamlarca gerekli olan mevzuat uygunluğu ile ilgili gerekli olan kontrolleri yapar. Sınıf 3 Kurumsal ASB e-Güven, Kurum irtibat görevlisiyle telefon, posta veya benzeri Sertifikaları bir prosedürü kullanarak irtibat kurmak suretiyle aşağıdakileri doğrular: • Sertifika Başvuru Sahibi adına Sertifika Başvurusunu yapan temsilcinin görevlendirilmiş olduğunu ve • Sertifika Başvuru Sahibi adına hareket etme yetkisine sahip olduğunu. e-Güven, Sertifika Başvuru Sahibinin temsilcisiyle telefon, posta ve/veya benzeri bir prosedürü kullanarak irtibat kurmak suretiyle, temsilci olduğu belirtilen kişinin Sertifika Başvurusunda bulunduğunu doğrular. Tablo 10 – Özel Kimlik Kontrol Prosedürleri 3.1.8.1.2 SSL için Managed PKI Müşterileri veya SSL Premium Edition için Managed PKI Müşterileri için Kimlik Kontrolü SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterileriyle ilgili olarak, kimlik doğrulama süreci e-Güven’in SSL için Managed PKI Müşterisinin veya SSL Premium Edition için Managed PKI Müşterisinin kimliğini SUH § 3.1.8.2’ye göre doğrulamasıyla başlar. Bu doğrulamanın ardından, SSL için Managed PKI Müşterisi veya SSL Premium Edition için Managed PKI Müşterisi, aşağıdakileri sağlayarak kendi kurumu içindeki sunuculara Sertifika düzenlenmesini onaylamaktan sorumlu olur: • • Bir Güvenli Sunucu Kimliği veya Global Sunucu Kimliği olarak tayin edilmiş sunucunun gerçekten varolması ve Kurumun bir Güvenli Sunucu Kimliği veya Global Sunucu Kimliği düzenlemeye yetkili olması. 3.1.8.1.3 Sınıf 3 Kurumsal ASB Sertifikaları için Kimlik Kontrolü e-Güven bir ASB sağlayıcı olarak, Sınıf 3 Kurumsal ASB Sertifikası için Sertifika Başvuru Sahibinin kimliğinin doğrulanmasıyla ilgili aşağıdaki prosedürü yerine getirir: • En az bir üçüncü şahıs kimlik kanıtlama servisi veya veri tabanı ya da alternatif olarak, kurumun varlığını doğrulayan ilgili resmi makamlarca verilmiş resmi dokümanları kullanarak. . - 37 - • • Sertifika Başvuru Sahibiyle telefon, taahhütlü posta ve/veya benzeri bir prosedürü kullanarak irtibat kurarak, kurumla ilgili belirli bilgilerin, Kurumun Sertifika Başvurusu yapmaya yetkili olduğunun, Kurum adına Sertifika Başvurusunda bulunan kişinin bu işle ilgili yetkilendirilmiş veya kurumu temsil etme hakkına sahip olduğunun ve bu kişinin Sertifika Başvuru Sahibi adına ve/veya hesabına hareket etmeye yetkili olduğunun doğrulanması. Sertifika Başvuru Sahibinin temsilcisiyle telefon, taahhütlü posta ve/veya benzeri bir prosedürü kullanarak irtibat kurmak suretiyle, temsilci olduğu belirtilen kişinin Sertifika Başvurusunu yaptığının doğrulanması. Yukarıda belirtilen hususlara ve güvenlik şartlarına ayrıca SUH’a uygun olarak bahsi geçen hizmetleri yerine getirirken e-Güven’in uymak zorunda olduğu bütün diğer şartlara uyması koşuluyla e-Güven bu hizmetlerin üçüncü bir kişi tarafından yerine getirilmesi yolunda anlaşmaya gitme hakkını saklı tutmaktadır. 3.1.8.2 SO’ların ve KO’ların Kimlik Kontrolü e-Güven’e, SO Sertifikaları yaratma için gelen talepler, birden fazla güvenilen e-Güven çalışanının katılımını gerektiren kontrollü bir süreç içersinde yetkili e-Güven personelince değerlendirilir, işlenir, onaylanır, yürütülür ve sertifikalar yaratılır. Managed PKI Müşterileri ve ASB Müşterileri, SO veya KO olmadan önce e-Güven’le bir anlaşma yaparlar. Geçerlilik kontrolünün bir Sertifika Başvurusuna değil de bir Managed PKI Müşterisi veya ASB Müşterisi olma başvurusuna ait olduğu durumlar haricinde, e-Güven, SO veya KO olmaları yolunda nihai karar ve onayı vermeden önce, SUH § 3.1.8.1’de belirtilen kurumsal son kullanıcı Abonelerin kimliğini doğrulamak için gereken kontrolleri yaparak aday Managed PKI Müşterisinin veya ASB Müşterisinin kimliğini kontrol eder. Ayrıca Managed PKI Müşterileri için, e-Güven, Managed PKI İdarecisi olarak tanımlanan kişinin o sıfatla hareket etmeye yetkili olduğunu doğrular. İhtiyari olarak, e-Güven, kurumun yetkili temsilcisinin yetkili e-Güven personelinin huzurunda şahsen bulunmasını isteyebilir. Bazı durumlarda, e-Güven, bir aday Managed PKI Müşterisinin veya ASB Müşterisinin kimlik kontrolü işlemlerinin kendisiyle bu yönde bir anlaşması bulunan üçüncü bir kişi tarafından yerine getirilmesini sağlayabilir. Bu yönde e-Güven tarafından yetkilendirilen üçüncü kişiler bu tip bir kurumsal kimliğin kontrolüyle ilgili prosedürleri e-Güven’in onayına sunulmalıdır. Bu onay, üçüncü kişinin e-Güven ile yaptığı anlaşmanın koşullarına göre bir Managed PKI veya Kimlik Kontrol Servisi Bürosu servisleri sağlayıcısı olarak işlemlerde bulunması için bir ön koşuldur. Üçüncü kişi tarafından e-Güven’in onayına sunulan kurumsal kimliğin kontrolüne ilişkin prosedürler en az yukarıda belirtilen koşulları kapsamalıdır. 3.1.9 Bireysel Kimliğin Kontrolü Bütün bireysel Sertifika Sınıfları için, e-Güven (kendi SO’sı adına veya ASB Müşterilerinin SO’ları adına) bir Managed PKI Müşterisi için aşağıdakileri doğrular: • Sertifika Başvuru Sahibinin Sertifika Başvurusunda tanımlanan kişi olduğunu (Sınıf 1 Sertifikalar için başvuruda bulunan Sertifika Başvuru Sahipleri hariç). - 38 - • • Sertifika Başvuru Sahibinin, SUH § 3.1.7’ye göre Sertifikada listelenecek açık anahtara karşılık gelen kapalı anahtara sahip olduğunu ve buna hakkı olduğunu. Sertifikada verilen bilgilerin doğru olduğunu (Doğrulanmamış Abone Bilgileri hariç). Ayrıca, e-Güven, her bir Sertifika Sınıfı için aşağıda tarif edilen daha detaylı prosedürleri de yerine getirebilir. 3.1.9.1 Sınıf 1 Bireysel Sertifikalar Sınıf 1 Sertifikalar için bireylerin kimliklerinin kontrolü, Sertifika Konusunun özgün isminin eGüven Sınıf 1 CA Altalanında tek ve açık bir Konu ismi olup olmadığına dair yapılan kontrolden oluşur. Sınıf 1 kimlik kontrolü kimlik güvencesi vermez (yani, bir Abonenin, olduğunu iddia ettiği kişi olduğunu garanti etmez). Abonenin genel ismi Doğrulanmamış Abone Bilgisidir. Sınıf 1 kimlik kontrolü, ayrıca, Sertifika Başvuru Sahibinin e-posta adresinin sınırlı olarak doğrulanmasını da içerir. 3.1.9.2 Sınıf 2 Bireysel Sertifikalar Sınıf 2 Sertifikalar için iki yöntemden biri kullanılır. Sınıf 2 Managed PKI Sertifikaları için, Managed PKI Müşterileri ve Managed PKI Lite Müşterileri, Sertifika Başvurularının SUH § 3.1.9.2.1’e göre onaylanmasında veya reddedilmesinde faaliyet kayıtlarını veya faaliyet bilgilerine ait veri tabanlarını kullanır. Perakende Sınıf 2 Sertifikalar ve Sınıf 2 Bireysel ASB Sertifikaları için, e-Güven, e-Güven onaylı bir kimlik kanıtlama servisinin veri tabanında yer alan bilgileri kullanarak SUH § 3.1.9.2.2’ye göre Sertifika Başvuru Sahiplerinin kimliğini doğrular. 3.1.9.2.1 Sınıf 2 Managed PKI Sertifikaları Sınıf 2 Managed PKI Sertifikaları için, Managed PKI Müşterisi, aşağıda ele alınan manuel veya otomatik kimlik kontrol prosedürlerini veya şifrelerini kullanarak Sertifika Başvurularını onaylar. Managed PKI Müşterileri ve Managed PKI Lite Müşterileri, başvuru formunda sertifika başvurusunda bulunan kişinin verdiği bilgileri (kayıt bilgisi) kendi kayıtlarıyla veya veri tabanlarıyla karşılaştırarak bireylerin kimliğini doğrular. Örneğin, kayıt bilgisini bir insan kaynakları departmanı veri tabanındaki personel veya bağımsız yüklenici kayıtlarıyla karşılaştırabilirler. Kayıt bilgisi ile kimlik kontrolü için kullanılan kayıtlar veya veri tabanı birbirini tuttuğu takdirde, Managed PKI Müşterisi veya Managed PKI Lite Müşterisi Managed PKI Kontrol Merkezini kullanarak Sertifika Başvurusunu manuel olarak onaylayabilir. Bu süreç “Manuel Kimlik Kontrolü” olarak bilinir. Managed PKI’ın Otomatik Yönetim Yazılım Modülü ve diğer benzeri e-Güven yazılımları Managed PKI Müşterilerine, her bir Sertifika Başvuru için Manuel kimlik Kontrolü gereksinimi yerine kullanıcıları veya cihazları doğrudan mevcut idari sistemler veya veri tabanlarından otomatik olarak onaylama veya iptal etme seçeneği sunar. Managed PKI Otomatik Yönetim Yazılım Modülünü kullanan Managed PKI Müşterileri, potansiyel Sertifika Başvurularının kimliğini onlara ait bilgiler bir veri tabanına girilmeden önce kontrol eder. Bir Sertifika Başvuru - 39 - Sahibi bir Sertifika Başvurusu yaptığında, Otomatik Yönetim Yazılım Modülü, Sertifika Başvurusundaki bilgileri veri tabanıyla karşılaştırır ve bilgiler birbirini tutuyorsa Sertifika Başvurusunu otomatik olarak onaylar ve E-Güven de Sertifikayı derhal düzenler. Bu sürece “Otomatik Yönetim” denir. e-Güven kimlik kontrolünce (“Şifre Kontrolü”) sunulan [VeriSign] Managed PKI “Şifresi”, bir Sertifika Başvuru Sahibinin kayıt verilerinin, bir Managed PKI Müşterisinin Managed PKI İdarecisince verilen, önceden konfigüre edilmiş kimlik kontrol verileriyle karşılaştırılması sonucu Sertifika Başvurularının otomatik olarak onaylanmasını veya reddedilmesini içerir. Şifre Kontrolüyle, Managed PKI Müşterisi, uygun kimlik kontrol seviyesinden memnun olan aday Sertifika Başvuru Sahiplerine “şifreler” dağıtmak için bir çevrim dışı uygulama kullanır. Bu durumda, Sertifika Başvuru Sahibi, bir Sertifika Başvurusu sunarken bu şifreyi ve beraberinde diğer kimlik kontrol bilgisini verir. Şifre ve ilave kimlik kontrol bilgileri, daha önce Managed PKI İdarecisince konfigüre edilmiş şifre veri tabanıyla karşılaştırılır ve bilgiler birbirini tutarsa Sertifika düzenlenir. Otomatik Yönetimi veya Şifre Kontrolünü kullanmayan Managed PKI Müşterileri ve bütün Managed PKI Lite Müşterileri Manuel kimlik Kontrolünü kullanmalıdır. 3.1.9.2.2 Sınıf 2 Perakende Sertifikalar e-Güven, Sertifika Başvurusundaki kimlik bilgileri ile e-Güven onaylı bir kimlik kanıtlama servisinin (örneğin, büyük bir kredi derecelendirme kuruluşu veya bu yönde hizmet veren başka bir güvenilir bilgi kaynağı) veri tabanında yer alan bilgilerin birbirini tutup tutmadığını belirleyerek Sınıf 2 Perakende Sertifikalar ve Sınıf 2 Bireysel ASB Sertifikaları için yapılan Sertifika Başvuruların geçerliliğini kontrol eder. 3.1.9.3 Sınıf 3 Bireysel Sertifikalar 3.1.9.3.1 Sınıf 3 Bireysel Sertifikalar Sınıf 3 bireysel Sertifika Başvurularının kimlik kontrolü, Sertifika Başvuru Sahibinin, bir yetkili e-Güven temsilcisi, Managed PKI Müşterisi, noter veya benzer yetkilere sahip (Sertifika Başvuru Sahibinin yetki sahası içinde) başka bir görevlinin huzurunda şahsen (fiziksel olarak) bulunmasına dayanır. Acenta, noter veya başka bir görevli, Sertifika Başvuru Sahibinin kimliğini, pasaport veya sürücü belgesi gibi iyi bilinen bir resmi kimlik belgesi ve bir diğer kimlik belgesiyle kontrol eder. 3.1.9.3.2 Sınıf 3 İdareci Sertifikaları e-Güven SO sistemlerine erişimi kontrol etmek ve VTN içindeki belirli eylemlere izin vermek için çeşitli İdareci Sertifikaları kullanılır. Belirli tipte Sınıf 3 İdareci Sertifikaları SUH §1.3.1’de listelenmiştir. e-Güven, Managed PKI Müşterisi ve güvenilen dördüncü şahıs çalışanlar için Sınıf 3 İdareci Sertifika Başvurularının kimlik kontrolünü aşağıdaki gibi yapar: - 40 - • • e-Güven, İdarecinin istihdam edildiği veya görev yaptığı kuruluşun varlığını ve kimliğini SUH § 3.1.8.2’ye göre kontrol eder. e-Güven, Sertifika Başvurusunda İdareci olarak isimlendirilen kişinin İdareci olarak görev yaptığını ve İdareci yetkisine sahip olduğunu doğrular. e-Güven kendi İdarecileri için yapılan Sertifika Başvurularını da onaylar. İdareciler kendi kurumları içinde “Güvenilen Şahıslar”dır (Bkz. SUH § 5.2.1). Bu durumda, bunların Sertifika Başvurularının kimlik kontrolü, bu işle ilgili yetkilendirilmesi veya görevlendirilmeleriyle (Bkz. SUH § 5.2.3), mesleki bilgi kontrol prosedürleriyle (Bkz. SUH § 5.3.2) ve İdareci olarak görev yapma yetkileriyle bağlantılı olarak kimliklerinin doğrulanmasına dayanır. 3.2 Rutin Anahtarlama ve Yenileme Mevcut bir Abone Sertifikasının geçerlilik süresi dolmadan önce, Sertifikanın kullanımının devam edebilmesi için Abonenin yeni bir sertifika alması gerekir. e-Güven, süresi dolan anahtar çiftinin yerine genelde Abonenin yeni bir anahtar çifti oluşturmasını ister (bu teknik olarak “yeniden anahtarlama” olarak tanımlanır). Ancak, bazı durumlarda (yani, web sunucu sertifikaları için), e-Güven, Abonelerin mevcut anahtar çifti için yeni bir sertifika talep etmesine izin verir (bu teknik olarak “yenileme” olarak tanımlanır). Aşağıdaki Tablo 11 e-Güven’in rutin yeniden anahtarlama (mevcut bir anahtar çiftinin yerini alacak yeni bir anahtar çifti için yeni bir sertifika verilmesi) ve yenileme (mevcut bir anahtar çifti için yeni bir sertifika verilmesi) şartlarını tarif eder. Genel olarak ele alırsak, “Yeniden Anahtarlam” ve “Yenileme” ortak olarak “Sertifika Yenileme” olarak tarif edilir ve eski Sertifikanın yerini yeni bir Sertifikanın almasına odaklanır. Bu bağlamda “Sertifika yenileme” yeni bir anahtar çifti oluşturulup oluşturulmaması üzerinde durmaz. Sınıf 3 Sunucu Sertifikaları haricindeki hiçbir e-Güven Sertifika tipi ve sınıfı için bu ayrımın önemi yoktur, çünkü e-Güven son kullanıcı Abone Sertifikası değiştirme işleminin bir parçası olarak daima yeni bir anahtar çifti yaratılır. Bununla birlikte, Sınıf 3 Sunucu Sertifikaları için, Abone anahtar çifti web sunucu üzerinde yaratıldığından ve çoğu web sunucu anahtar yaratma aracı, mevcut bir anahtar çifti için yeni bir Sertifika Talebinin yaratılmasına izin verdiğinden “yeniden anahtarlama” ile “yenileme” arasında bir ayrım vardır. Ayrıca, aşağıdaki Tablo 11’de belirtilen sınırlamalara tâbi, mevcut eGüven SO anahtar çiftleri için yeni SO Sertifikaları düzenlenebilir. Sertifika Sınıfı ve Tipi Sınıf 1, Sınıf 2, Sınıf 3 Anahtar ve Nesne İmzalama ve Sınıf 3 İdareci Sertifikaları Sınıf 3 Sertifikaları Rutin Yeniden Kodlama ve Yenileme Şartları Bu tip Sertifikalar için Abone Anahtar Çiftleri çevrim içi kayıt işleminin bir parçası olarak web tarayıcı tarafından yaratılır. Abone, “yenileme” için mevcut bir anahtar çifti sunma ihtiyarına sahip değildir. Buna göre, bu tip Sertifikalar için yeniden anahtarlama desteklenir ancak Sertifika yenileme desteklenmez. Sunucu Güvenli Sunucu Kimlikleri veya Global Sunucu Kimlikleri için, Abone anahtar çiftleri çevrim için kayıt işleminin dışında (yani, bir web sunucu üzerinde) oluşturulur. Çoğu sunucu anahtar yaratma aracı, Abonenin, daha önce kullanılmış bir anahtar çifti için yeni bir Sertifika - 41 - Sertifika Sınıfı ve Tipi Rutin Yeniden Kodlama ve Yenileme Şartları İmzalama Talebi (CSR) yaratmasına izin verir. Buna göre, Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri için hem yeniden anahtarlama, hem de Sertifika yenileme desteklenir. CA Sertifikaları SO anahtar çiftinin toplam sertifika geçerlilik süresini SUH § 6.3.2’de belirtilen geçerli maksimum SO anahtar çifti geçerlilik süresini aşmadığı sürece SO Sertifikalarının yenilenmesine izin verilir. eGüven SO’ları da SUH § 4.7’ye göre yeniden anahtarlanabilir. Buna göre, e-Güven SO Sertifikaları için hem yeniden anahtarlama, hem de sertifika yenileme desteklenir. Tablo 11 – Rutin Yeniden Anahtarlama ve Yenileme Şartları 3.2.1 Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme İptal edilmemiş Abone Sertifikaları aşağıdaki Tablo 12’ye göre değiştirilebilir (yani, yeniden anahtarlanabilir veya yenilenebilir). Süre Sertifikanın süresinin sona ermesinden 30 gün öncesi ile 30 gün sonrası arasındaki süre Şart Sınıf 3 Kurumsal ASB sertifikaları haricindeki bütün e-Güven Sertifikaları için e-Güven veya Managed PKI Müşterisi, Parola kullanarak, Sertifika değiştirmek isteyen Abonelerin kimliğini kontrol eder. İlk kayıt işleminin bir parçası olarak, Aboneler bir Parola seçer ve kayıt bilgisiyle birlikte verir. Öngörülen zaman dilimi içinde bir Sertifikanın yeniden anahtarlanması veya yenilenmesi durumunda, Abone, kayıt bilgisiyle birlikte Parolasını doğru olarak verirse ve kayıt bilgisi değiştirilmemişse (irtibat bilgisi dahil) otomatik olarak yeni bir Sertifika düzenlenir. Bu yöntemle yeniden anahtarlama veya yenilemeden sonra ve en azından müteakip alternatif yeniden anahtarlama veya yenileme olaylarında, SO veya KO, bir orijinal Sertifika Başvurusunun kimlik kontrolü için SUH § 3.1.8.1’de belirtilen şartlara göre Abonenin kimliğini tekrar doğrulayacaktır. Bir Sınıf 3 Kurumsal ASB Sertifikasını değiştirme talebinin kimlik kontrolü bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal Sertifika Başvurusu kimlik kontrol prosedürlerinin de kullanılmasını gerektirir. Sertifikanın süresinin Bu senaryoya göre bir son kullanıcı Abone Sertifikasının sona ermesinden 30 değiştirilmesinde, orijinal Sertifika Başvurusunun kimlik kontrolü için gün sonrasının SUH § 3.1.8.1 ve 3.1.9’da belirtilen şartlar kullanılır. ardından Bir Sınıf 3 Kurumsal ASB Sertifikasını değiştirme talebinin kimlik kontrolü, bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal Sertifika Başvurusu kimlik kontrol prosedürlerinin de kullanılmasını gerektirir. - 42 - Tablo 12 – Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme Şartları 3.2.2 SO Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme e-Güven SO’ları SUH § 4.7’ye göre periyodik olarak yeniden anahtarlanabilir. e-Güven SO Sertifikaları SUH § 6.3.2’de belirtilen parametreler dahilinde yenilenebilir. Örneğin, 10 yıllık bir sertifika periyodu içinde bir PCA başlangıç sertifikası düzenlenmişse, SO’ların anahtar çiftinin geçerlilik süresini 20 yıl daha uzatmak için yenilenmiş sertifikalar düzenlenebilir ve böylece 30 yıllık maksimum izin verilen geçerlilik periyoduna ulaşılır. Sertifikanın Süresinin dolmasından sonra SO’nun Sertifikasının yenilemesine izin verilmez. VeriSign kendinden imzalı PCA Sertifikaları, diğer e-Güven’e ait olan kök SO’ları ve e-Güven SO Sertifikaları için, yenileme talepleri yetkili VeriSign personelince ve birden fazla güvenilen bireyin katılımını gerektiren kontrollü bir işlemle yaratılır ve onaylanır. VeriSign PCA’larına bağlanan, e-Güven’a ait olmayan SO Sertifikaları için, e-Güven, Managed PKI Müşterisinin veya ASB Müşterisinin gerçekten CA Sertifikasının Abonesi olduğunu doğrulamak için uygun prosedürleri yerine getirir. Kimlik kontrol prosedürleri SUH § 3.1.8.3’le ilgili orijinal kayıt prosedürleriyle aynıdır. 3.3 İptal Sonrasında Yeniden Anahtarlama Aşağıdaki durumlarda iptalden sonra yeniden anahtarlamaya izin verilmez: • • • Sertifikanın (bir Sınıf 1 Sertifika haricinde), Sertifika Konusu olarak isimlendirilenin haricindeki bir kişi için düzenlenmesinden dolayı iptal olması. Sertifikanın (bir Sınıf 1 Sertifika haricinde), Sertifika Konusu olarak isimlendirilen kişinin izni olmadan düzenlenmesi. Abonenin Sertifika Başvurusunu onaylayan kuruluşun, Sertifika Başvurusundaki maddi bir hususun yanlış olduğunu tespit etmesi veya kendisinde yanlış olduğu kanaatini yaratacak bir sebep bulunması. Yukarıdaki paragrafa tâbi olarak, iptal edilmiş Abone Sertifikaları aşağıdaki Tablo 13’e göre değiştirilebilir (yani, yeniden anahtarlanabilir). - 43 - Süre Şart Sertifikanın süresi Bir kurumsal veya bireysel Sertifika için, Sertifikanın iptalinden sonra dolmadan önce e-Güven, SUH § 3.2.1’de tarif edildiği gibi Parola kullanarak, Sertifika değiştirmek isteyen kişinin gerçekten Abone (bireyler için) veya yetkili bir kurumun temsilcisi (kurumlar için) olduğunu doğrular. Bu prosedür haricinde, iptalden sonra bir Sertifikayı değiştirmek için, SUH §§ 3.1.8.1, 3.1.9’da belirtilen, orijinal Sertifika Başvurusunun geçerlilik kontrol şartları kullanılır. Bu Sertifikalar, değiştirilen Sertifikanın Konu özgün ismiyle aynı Konu özgün ismini içerir. Bir Sınıf 3 Kurumsal ASB Sertifikasını değiştirme talebinin kimlik kontrolü bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal Sertifika Başvurusu kimlik kontrol prosedürlerinin kullanılmasını gerektirir. Sertifikanın süresi Bu senaryoya göre bir son kullanıcı Abone Sertifikasının dolduktan sonra değiştirilmesinde, orijinal Sertifika Başvurusunun kimlik kontrolü için SUH § 3.1.8.1, § 3.1.9’da belirtilen şartlar kullanılır. Sınıf 3 Kurumsal ASB Sertifikasını değiştirme talebinin kimlik kontrolü, bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal Sertifika Başvurusu kimlik kontrol prosedürlerinin kullanılmasını gerektirir. Tablo 13 – İptal Sonrasında Sertifika Değiştirme Şartları 3.4 İptal Talebi Bir Sertifikanın iptalinden önce, e-Güven, iptal talebinin Sertifikanın Abonesinden, Sertifika Başvurusunu onaylayan kuruluştan veya ilgili ASB Müşterisinden (bir ASB Müşterisi SO’sunun düzenlediği Sertifikalar için) geldiğini doğrular. Abone iptal taleplerinde kabul edilebilir kimlik kontrol prosedürleri şunlardır: • • • Aboneden Parolanın alınması ve bu Parolanın kayıtlı Parolayla uyuşması halinde Sertifikanın otomatik olarak iptal edilmesi. Aboneden alındığı kanıtlanabilen, iptal talebinde bulunan ve iptal edilecek Sertifikayla doğrulanabilen bir dijital imza içeren bir mesaj alınması. Sertifika Sınıfı ışığında, iptal talep eden kişi veya kurumun gerçekten Abone olduğuna dair somut kanıtlar gösteren Aboneyle iletişim kurulması. Şartlara bağlı olarak, bu iletişim şunlardan birini veya daha fazlasını içerebilir: telefon, faks, e-posta, posta veya kurye servisi. e-Güven İdarecileri, e-Güven Altalanında son kullanıcı Abone Sertifikası iptali için talepte bulunmaya yetkilidir. e-Güven, İdarecilerin iptal işlevlerini yerine getirmesine izin vermeden önce SSL ve istemci kimlik kontrolünü kullanarak erişim kontrolü yoluyla onların kimliğini kontrol eder. Ancak iptal talebinde bulunanın bir ASB Müşterisinin SO İdarecisi olması durumunda ASB Sağlayıcılar telefonla bu SO İdarecisinin kimliğini kontrol eder. - 44 - Otomatik Yönetim Yazılım Modülünü kullanan Managed PKI Müşterileri, e-Güven’e toplu iptal talepleri sunabilir. Bu talepler, Managed PKI Müşterisi’nin Otomatik Yönetim donanım elemanında kapalı anahtar kullanılarak dijital olarak imzalanmış bir talep vasıtasıyla kimlik kontrolüne tâbi tutulur. Managed PKI Müşterilerinin SO Sertifikasını iptal talepleri, iptal talebinin gerçekten SO’dan geldiğinden emin olunması için e-Güven tarafından kimlik kontrolüne tâbi tutulur. 4. Operasyon Şartları 4.1 Sertifika Başvurusu 4.1.1 Son Kullanıcı Abone Sertifikaları için Sertifika Başvuruları e-Güven Sertifikaları için, bütün son kullanıcı Sertifika Başvuruları aşağıdakilerden oluşan bir kayıt sürecine tâbi tutulur: • • • • • Bir Sertifika Başvuru formunun doldurularak gerekli bilgilerin verilmesi. SUH § 6.1’e göre anahtar çiftinin oluşturulması veya oluşturulmasının ayarlanması. Sertifika Başvuru Sahibinin, açık anahtarını SUH § 6.1.3’e göre doğrudan veya bir Managed PKI Müşterisi vasıtasıyla e-Güven’e vermesi. Sertifika Başvuru Sahibinin, e-Güven’e verilen açık anahtara karşılık gelen kapalı anahtara sahip olduğunun SUH § 3.1.7’ye göre e-Güven’e kanıtlanması. İlgili Abonelik Anlaşmasına onay verilmesi. Web Host Sistemleri kendi müşterileri adına Web Host Programıyla ilgili Sertifika Başvuruları yapabilir (Bkz. SUH § 1.1.2.6). Sertifika Başvuruları, işlenmek üzere (onay veya red) ya e-Güven’e, ya da Managed PKI Müşterisine sunulur. Sertifika Başvurusunu işleyen kuruluş ve Sertifikayı SUH § 4.2’ye göre düzenleyen kuruluş aşağıdaki tabloda gösterildiği gibi iki farklı kuruluş olabilir. Sertifika Sınıfı/Kategorisi Sertifika Başvurularını İşleyen Sertifikayı Kuruluş Düzenleyen Kuruluş Perakende e-Güven e-Güven Sınıf 1 bireysel Sertifika Sınıf 2 bireysel Perakende Sertifika Sınıf 2 bireysel ASB Sertifikası Sınıf 2 bireysel Managed PKI Sertifikası Sınıf 3 bireysel Perakende Sertifika e-Güven e-Güven e-Güven, ASB Sağlayıcı olarak e-Güven Sınıf 2 Managed PKI Müşterisi e-Güven veya Managed PKI Lite Müşterisi e-Güven e-Güven - 45 - Sertifika Sınıfı/Kategorisi Sertifika Başvurularını İşleyen Kuruluş Sınıf 3 İdareci Sertifikası e-Güven Sınıf 3 kurumsal Perakende e-Güven Sertifikalar Sınıf 3 kurumsal Managed PKI SSL için Managed PKI Sertifikaları (SSL için Managed Müşterileri veya SSL Premium PKI veya SSL Premium Edition Edition için Managed PKI için Managed PKI) Müşterileri Sınıf 3 kurumsal ASB Sertifika e-Güven, ASB Sağlayıcı olarak SO, Altyapı ve e-Güven Personel e-Güven Sertifikaları Sertifikayı Düzenleyen Kuruluş e-Güven e-Güven VeriSign e-Güven e-Güven Tablo 14 – Sertifika Başvurularını Alan Kuruluşlar 4.1.2 SO, KO, Altyapı ve Personel Sertifikaları için Sertifika Başvuruları 4.1.2.1 KO Sertifikaları VeriSign PCA’ları, sadece, VeriSign, Küresel Orataklar ve Managed PKI Müşterisi de dahil kendi mahiyetindeki SO’lara sertifika verir. SO Sertifikalarının aboneleri olan e-Güven SO’ları için sertifika talepleri birden fazla güvenilen şahsın katılımını gerektiren kontrollü bir yöntem kullanılarak yetkili e-Güven personelince oluşturulur ve onaylanır. SO Sertifikası abonesi olan Managed PKI Müşterilerinin Sertifika Başvuru Formu doldurması gerekmez. Bunun yerine e-Güven ile sözleşme yaparlar. SO Sertifika Başvuru Sahiplerinin, sözleşme süreci sırasında kimliklerini ispat etmeleri için SUH § 3.1.8.2’ye göre kimlik belgelerini ve irtibat bilgilerini vermeleri gerekir. Bu sözleşme süreci sırasında veya en azından Anahtar Yaratma Prosedüründen önce bir Managed PKI Müşterisi’nin veya ASB Müşterisinin SO anahtar çiftini yaratmak için, Başvuru Sahibi uygun özgün ismi ve başvuru sahibine verilecek Sertifikaların içeriğini belirlemek için e-Güven ile işbirliği yapacaktır. Bu SO’lar için sertifika talepleri birden fazla güvenilen şahsın katılımını gerektiren kontrollü ve yüksek derecede güvenli bir işlemle yetkili e-Güven personelince oluşturulur ve onaylanır. 4.1.2.2 KO Sertifikaları e-Güven, KO’lara ve KO sistemlerine sertifikalar veren çeşitli İdari SO’lar işletir: • • • e-Güven SO’ları adına Sertifika Başvurularını işleyen e-Güven personeli (e-Güven KO İdarecileri). Kendi kurumları içindeki Managed PKI Müşterisi ve Altalanlarındaki sunucular adına Sertifika Başvurularını işleyen Managed PKI Müşterisi personeli (Managed PKI İdarecileri). Bir Otomatik Yönetim kimlik kontrol sürecinin geliştirilmiş olduğu durumlarda Managed PKI Müşterileri için Sertifika Başvurularını işleyen Otomatik Yönetim Sunucuları. - 46 - İlgili İdari SO’ların aboneleri olan bu KO’ların tümü için, SUH § 4.1.1’de belirtilen Sınıf 3 İdareci Sertifikalarının şartları geçerlidir. 4.1.2.3 Altyapı Sertifikaları e-Güven, e-Güven altyapı elemanlarına (örneğin, Sertifika durum bilgisi veren OCSP Cevaplandırma Üniteleri ve e-Güven Roaming Servisini destekleyen Roaming Sunucuları) Sertifikalar düzenleyen çeşitli Altyapı SO’ları da işletir. 4.1.2.4 VeriSign Personel Sertifikaları e-Güven, bir Sertifika Başvurusu ve işlenmesi gerektiği gibi tamamlandığında çalışanlarına Sınıf 2 sertifikalar verir. 4.2 Sertifika Düzenleme 4.2.1 Son Kullanıcı Abone Sertifikaları Düzenleme Bir Sertifika Başvuru Sahibi Sertifika Başvurusu yaptıktan sonra, e-Güven veya Managed PKI İdarecisi (Bkz. SUH § 4.1.1), Sertifika Başvurusundaki bilgileri (Doğrulanmamış Abone Bilgileri hariç) SUH §§ 3.1.8.1, 3.1.9’a göre doğrulamaya çalışır. Gerekli bütün kimlik kontrol prosedürlerinin SUH § 3.1’e göre tam olarak yerine getirilmesinden sonra, e-Güven, bir Managed PKI İdarecisi tarafından yapılan Sertifika Başvurusunu onaylar. Kimlik kontrolü başarısız olursa, e-Güven, bir Managed PKI İdarecisinin Sertifika Başvurusunu reddeder. Sertifika Başvurusunun onaylanmasından veya bir KO’nun Sertifika düzenleme talebinin alınmasından sonra Sertifika düzenlenir ve verilir. e-Güven, Sertifika Başvurusunun onaylanmasından sonra o Sertifika Başvurusunda yer alan bilgilere göre Sertifika Başvuru Sahibine bir Sertifika düzenler ve verir. Eğer Managed PKI Müşterisi bir Sertifika Başvurusunu onaylar ve bu onayı e-Güven’e iletirse, e-Güven bir Sertifika düzenler ve Sertifika Başvuru Sahibine verir. Bu bölümdeki prosedürler Sertifika değiştirme (yani, yenileme veya yeniden anahtarlama) talebinin yapılmasıyla bağlantılı olarak Sertifika düzenlemek için de kullanılır. 4.2.2 SO, KO ve Altyapı Sertifikaları Düzenleme e-Güven, Müşteri olmak isteyen kuruluşların kimliklerini SUH § 3.1.8.2’ye göre kontrol edip onayladıktan sonra SO veya KO işlevlerini yerine getirmek için gereken Sertifikaları verir. eGüven, SUH § 4.1.2’ye göre Müşteri olmak isteyen bir başvuru sahibiyle sözleşme yapmadan önce, sunulan kimlik belgeleri esas alınarak potansiyel Müşterinin kimliği doğrulanır. Bu tip bir sözleşmenin uygulanması, e-Güven’in başvuruyu bütünüyle ve nihai olarak onayladığını gösterir. Müşteri başvurusunu onaylama veya reddetme kararını sadece e-Güven verir. Bu onaydan sonra, e-Güven, Müşteri SO’suna veya KO’suna SUH § 6.1’e göre Sertifika verir. e-Güven altyapı elemanları (örneğin, OCSP Cevaplandırma Üniteleri) için, Sertifika talepleri, birden fazla Güvenilen Şahsın katılımını gerektiren kontrollü ve yüksek derecede güvenli bir işlemle yetkili e-Güven personelince yaratılır ve onaylanır. - 47 - 4.3 Sertifika Kabulü Sertifikanın hazırlanmasından sonra, e-Güven, Abonelere, Sertifikalarının hazır olduğunu ve bu Sertifikaları alabilecekleri araçları bildirmek için ihbarda bulunur. Managed PKI Müşterileri için, Abonelere bu ihbar Managed PKI İdarecisi vasıtasıyla gönderilir. Sertifikalar düzenlendikten sonra, ya bir web sitesinden indirmelerine olanak sağlanarak, ya da Sertifikayı içeren bir mesaj gönderilerek son kullanıcı Abonelerin kullanımına sunulur. Örneğin, e-Güven, Aboneye, Sertifikayı almak için Abonenin erişeceği web sayfasının linki ile bu erişimin sağlayacak olan PIN’i kodunu gönderebilir. Sertifika, Aboneye, bir e-posta mesajıyla da gönderilebilir. Bir Sertifikanın indirilmesi veya eklendiği mesajdan barındırılacağı terminale kopyalanarak kurulması için Abonenin Sertifikayı kabulü gerekir. 4.4 Sertifikayı Askıya Alma veya İptal Etme 4.4.1 İptal Koşulları 4.4.1.1 Son Kullanıcı Abone Sertifikaları için İptal Koşulları Bir son kullanıcı Abone Sertifikası aşağıdaki koşullarda iptal edilir: • • • • • • • • • • e-Güven tarafında, herhangi bir Müşteri veya Abonede, Müşterinin veya Abonenin kapalı anahtarıyla ilgili bir Tehdit bulunduğu yönünde bir kanaat veya güçlü bir şüphe oluşması. Abonenin ilgili Abonelik Anlaşmasına göre Abone tarafından yaratılan ve sözleşmenin feshi için haklı sebep sayılabilecek bir durumun ortaya çıkması, Abonenin yükümlülüklerini yerine getirmemesi, Abonenin güvenlikle ilgili yeterli önlemleri almaması gibi durumların e-Güven veya Müşteri tarafından tespiti Aboneyle yapılan Abonelik Anlaşmasının sona ermiş olması. Managed PKI Müşterisi veya Sınıf 3 Kurumsal ASB Sertifikaları düzenleyen bir ASB Müşterisi ile bir Abone arasındaki bağlantının sona ermiş veya erdirilmiş olması. Sınıf 3 Kurumsal ASB Sertifikası düzenleyen bir Abone olan bir kurum ile Abonenin kapalı anahtarını kontrol eden ve/veya kullanan kurumun yetkili temsilcisi arasındaki bağlantının sona ermiş veya erdirilmiş olması. e-Güven veya Müşteride, Sertifikanın ilgili SUH’un gerektirdiği prosedürlere göre düzenlenmediği, Sertifikanın (Sınıf 1 Sertifikaları haricinde) Sertifika Konusu olarak isimlendirilenin haricindeki bir kişiye verildiği veya Sertifikanın (Sınıf 1 Sertifikaları haricinde) Sertifika Konusu olarak isimlendirilen kişinin izni olmadan düzenlendiği yönünde bir kanaat oluşması için bir sebep bulunması. e-Güven veya Müşteride, Sertifika Başvurusundaki bir maddi durumun yanlış olduğu yönünde bir kanaat oluşması için bir sebep bulunması. e-Güven veya Müşterinin, Sertifika Düzenlemeyle ilgili bir esaslı önşartın yerine getirilmediği veya bu şarttan feragatin gerçekleştirilmediğinin tespiti. Sınıf 3 kurumsal Sertifikalarda, Abonenin ticari isim veya ünvanın değişmesi. Sertifikada bulunan, Doğrulanmamış Abone Bilgisi haricindeki bilgilerin yanlış veya değiştirilmiş olması. - 48 - • Abonenin, SUH § 3.4’e göre Sertifikanın iptalini talep etmesi. Bir İdarecinin İdareci olarak hareket etme yetkisinin sona ermiş veya erdirilmiş olması halinde de e-Güven İdarecinin Sertifikasını iptal edebilir. e-Güven Abonelik Anlaşmaları, son kullanıcı Abonelerin, kapalı anahtarıyla ilgili bilinen veya şüpheli bir Tehdit bulunması halinde bunu derhal SUH § 4.4.3.1’e göre e-Güven’e bildirmeleri gerektiğini açıklayan hükümler taşımaktadır. 4.4.1.2 SO, KO veya Altyapı Sertifikaları için İptal Koşulları e-Güven aşağıdaki durumlarda SO, KO veya altyapı Sertifikalarını iptal eder: • • • • • e-Güven’in, SO, KO veya altyapı sertifikalarının kapalı anahtarıyla ilgili bir tehdit bulunduğunu tespit etmesi veya bu yönde bir kanaat oluşmasına yol açacak bir sebep bulunması. SO veya KO ile e-Güven arasındaki anlaşmanın sona ermiş olması. e-Güven’in, Sertifikanın işbu SUH’un gerektirdiği prosedürlere göre düzenlenmediği, Sertifika Konusu olarak isimlendirilenin haricindeki bir kişiye verildiği veya Sertifika Konusu olarak isimlendirilen kişinin izni olmadan düzenlendiğini tespit etmesi veya bu yönde bir kanaat oluşmasına yol açacak bir sebep bulunması. e-Güven veya Müşterinin, Sertifika Düzenlemeyle ilgili bir esaslı önşartın yerine getirilmediği veya bu şarttan feragatin gerçekleştirilmediğinin tespiti SO veya KO’nun Sertifikanın iptalini talep etmesi. e-Güven, Managed PKI Müşterilerinin ve ASB Müşterilerinin, SUH § 4.4.3.1’e göre sertifikaların iptaliyle ilgili süreçte yer aldıkları zaman, bu süreçle ilgili gerektiğinde kendisine bilgi verilmesini talep edebilir. 4.4.2 Kimler İptal Talebinde Bulunabilir 4.4.2.1 Kimler Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Edebilir Aşağıdaki kuruluşlar bir son kullanıcı Abone Sertifikasının iptalini talep edebilir: • • • • • e-Güven veya Abonenin Sertifika Başvurusunu onaylayan Müşteri SUH § 4.4.1.1’e göre herhangi bir son kullanıcı Abone veya İdareci Sertifikasının iptalini talep edebilir. Bireysel Aboneler kendi bireysel Sertifikalarının iptalini talep edebilir. Kurumsal Sertifikalarda, sadece kurumun yetkili temsilcisi kuruma verilen Sertifikaların iptalini talep edebilir. Bir ASB Müşterisi, kendi SO’sunun verdiği Sertifikaların iptalini başlatmaya yetkilidir. e-Güven veya İdarecisi bir İdareci Sertifikası almış olan Managed PKI Müşterisinin yetkili temsilcisinin İdareci Sertifikasının iptalini talep etmeye yetkilidir. - 49 - 4.4.2.2 Kimler Bir SO, KO veya Altyapı Sertifikasının İptalini Talep Edebilir Aşağıdaki kuruluşlar bir SO, KO veya Altyapı Sertifikasının iptalini talep edebilir: • • • Sadece e-Güven, kendi SO’larına, KO’larına veya altyapı elemanlarına verilen Sertifikaların iptalini talep etmeye veya başlatmaya yetkilidir. VeriSign’ın e-Güven’in alt alanında olduğu durumlarda veya e-Güven’in alat alanında yer alan tüm taraflar için e-Güven, SUH § 4.4.1.2’ye göre herhangi bir İşlem Merkezi, Servis Merkezi, Managed PKI Müşterisi ya da ASB Müşterisi SO’sı , KO’sı veya altyapısı Sertifikasının iptalini başlatabilir. İşlem Merkezleri, Servis Merkezleri, Managed PKI Müşterileri ve ASB Müşterileri, yetkili temsilcileri vasıtasıyla kendi SO, KO ve altyapı Sertifikalarının iptalini talep etmeye yetkilidir. 4.4.3 İptal Talebi Prosedürü 4.4.3.1 Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Etme Prosedürü İptal talebinde bulunan bir son kullanıcı Abonenin, bu talebi, sertifikanın iptalini hemen başlatacak olan e-Güven’e veya Abonenin Başvuru Sertifikasını onaylayan Müşteriye iletmesi gerekir. Managed PKI Müşterileri için, Abonenin bu talebi, işleme alınmak üzere e-Güven’e iletecek olan Managed PKI İdarecisine iletilmesi gerekir. Bu iptal talebi SUH § 3.4’e göre bildirilecektir. Bir Managed PKI Müşterisinin veya ASB Müşterisinin kendi inisiyatifiyle bir son kullanıcı Abone Sertifikasının iptalini başlatması durumunda, Managed PKI Müşterisi veya ASB Müşterisi e-Güven’e Sertifikayı iptal etme talimatı verir. 4.4.3.2 Bir SO veya KO Sertifikasının İptalini Talep Etme Prosedürü Kendi SO veya KO Sertifikasının iptalini talep eden bir SO veya KO’nun bu talebinin SO veya KO tarafından e-Güven’e iletilmesi gerekir. Bu talebi alan e-Güven Sertifikayı iptal eder. Ayrıca müstakil e-Güven de SO veya KO Sertifikasının iptalini başlatabilir. 4.4.4 İptal Talebi Süresi İptal talepleri ticari açıdan makul, mümkün olan en kısa süre içinde sunulmalıdır. 4.4.5 Askıya Alma Koşulları e-Güven, genelde, SO veya son kullanıcı Abone Sertifikaları için askıya alma servisi sunmaz. 4.4.6 Kimler Askıya Alma Talebinde Bulunabilir İlgili değildir. - 50 - 4.4.7 Askıya Alma Talebi Prosedürü İlgili değildir. 4.4.8 Askıya Alma Süresi Limitleri İlgili değildir. 4.4.9 CRL Yayınlama Sıklığı e-Güven, iptal edilen e-Güven Sertifikalarını gösteren CRL’ler yayınlar ve durum kontrol servisleri sunar. Son kullanıcı Abone Sertifikaları düzenleyen SO’lar için her gün CRL’ler yayınlanır. Sadece SO Sertifikaları düzenleyen SO’lar için CRL’ler üç ayda bir yayınlanır. Bu süreden önce ancak SO’lar için CRL’ler ancak bir SO Sertifikası iptal edildiğinde yayınlanır. Süresi dolan Sertifikalar sona erme tarihinden otuz (30) gün sonra CRL’den çıkarılır. 4.4.10 Sertifika İptal Listesi Kontrol Şartları İtimat Eden Taraflar, işlem yapmak için esas aldıkları Sertifikaların durumunu kontrol etmelidir. İtimat Eden Tarafların Sertifika durumunu kontrol etmede kullanabilecekleri bir yöntem, İtimat Eden Tarafın esas almak istediği Sertifikayı düzenleyen SO’nun yayınladığı en son CRL’ye başvurmaktır. • • • VeriSign PCA’ları ve Sınıf 1-3 Sertifika Otoriteleri için, CRL’ler http://crl.verisign.com adresindeki VeriSign veri bankasında açıklanır. Managed PKI Lite Müşterisi SO’ları için, CRL’ler http://onsitecrl.eguven.com/OnSitePublic/ adresinde açıklanır. Managed PKI Müşterisi SO’ları için, CRL’ler, yeri Managed PKI Müşterisine bildirilen müşteriye özel veri bankalarında yayınlanır. İtimat Eden Tarafların ilgili SO için CRL’nin yerini belirlemesine olanak sağlamak için Veri Bankasında bir “CRL referans Tablosu” da yayınlanır. 4.4.11 Çevrim İçi İptal/Durum Kontrolü Bilgisi Alma e-Güven, CRL’ler yayınlamasının yanı sıra e-Güven veri bankasında sorgulama işlevleriyle Sertifika durum bilgisi de verir. Sertifika durum bilgisi, aşağıdaki adreslerde bulunan E-Güven Veri Bankasıyla erişilebilen web esaslı sorgulama işlevleriyle elde edilebilir: • • https://www.e-guven.com/repository (bireysel Sertifikalar için) https://www.e-guven.com/repository (Sunucu ve Geliştirici Sertifikaları için) e-Güven, OCSP Sertifika durum bilgisi de verir. OCSP servisleri için sözleşme yapan Managed PKI Müşterileri OCSP’yi kullanarak Sertifika durumunu kontrol edebilir. İlgili OCSP Cevaplandırma Ünitesi için, URL, Managed PKI Müşterisine iletilir. - 51 - 4.4.12 Çevrim İçi İptal Kontrolü Şartları Bir İtimat Eden Taraf, işlem yapmak için esas almak istediği bir Sertifikanın durumunu en son ilgili CRL’ye başvurarak kontrol etmezse, SUH § 4.4.11’de belirtilen ilgili yöntemlerden birini kullanarak bu kontrolü yapabilir. 4.4.13 Mevcut Diğer İptal Duyuru Formları Koşul yoktur. 4.4.14 Diğer İptal Duyuruları için Kontrol Şartları Koşul yoktur. 4.4.15 Anahtar Tehditleriyle İlgili Özel Şartlar e-Güven, bir e-Güven SO’sunun kapalı anahtarıyla ilgili bir tehdit tespit ederse veya bu yönde kanaat oluşturacak bir sebep gördüğü takdirde, SUH §§ 4.4.9 – 4.4.14’de tarif edilen prosedürlere ilave olarak, potansiyel işlem taraflarını ve itimat eden tarafları uyarmak için ticari açıdan makul her türlü çabayı sarf edecektir. 4.5 Güvenlik Denetimi Prosedürleri 4.5.1 Kaydedilen Olay Tipleri e-Güven aşağıdaki önemli olayları manuel veya otomatik olarak kaydeder: • SO anahtar yaşam döngüsü yönetimi olayları: - Anahtar yaratma, yedekleme, saklama, kurtarma, arşivleme ve imha etme. - Şifreleme cihazı periyodu yönetimi olayları. • SO ve Abone sertifika yaşam döngüsü yönetimi olayları: - Sertifika Başvuruları, yenileme, yeniden anahtarlama ve iptal. - Başarılı veya başarısız talep işlemleri. - Sertifikaların ve CRL’lerin yaratılması ve yayınlanması. • Güvenlikle ilgili olaylar: - Başarılı veya başarısız PKI sistemi erişim girişimleri. - e-Güven personelinin PKI ve güvenlik sistemi eylemleri. - Okunan, yazılan veya silinen gizli dosyalar veya kayıtlar. - Güvenlik profili değişiklikleri. - Sistem arızaları, donanım arızaları ve diğer anormallikler. - Güvenlik duvarı ve rooter aktivitesi. - SO tesisi ziyaretçi girişi/çıkışı. - 52 - Kayıt girdileri aşağıdaki elemanları içerir: • • • • Girdi tarih ve saati. Otomatik jurnal girişleri için girdinin seri veya sıra numarası. Jurnal girişini yapan kuruluşun kimliği. Girdi tipi. e-Güven KO’ları ve Managed PKI İdarecileri aşağıdaki Sertifika Başvuru bilgilerini kaydeder: • • • • • • Sertifika Başvuru Sahibince sunulan kimlik belgesi/belgeleri türü. İlgiliyse, kimlik belgelerinin özel kimlik bilgileri, numaraları veya her ikisine ait kayıtlar (örneğin, Sertifika Başvuru Sahibinin sürücü belgesi numarası). Başvuruların ve kimlik belgelerinin kopyalarının saklandığı yer. Başvuruyu kabul eden kuruluşun kimliği. Varsa, kimlik belgelerinin geçerliliğini kontrol etmede kullanılan yöntemler. İlgiliyse, alıcı SO’nun veya ileten KO’nun ismi. 4.5.2 Kayıt İşleme Sıklığı Denetim kayıtları, en azından haftada bir önemli güvenlik ve operasyonel olaylar açısından kontrolden geçirilmelidir. Ayrıca, e-Güven, e-Güven SO veya KO sistemlerindeki düzensizlikler ve olaylardan dolayı alarm verilmesi durumunda kendi denetim kayıtlarını şüpheli veya anormal aktiviteler açısından inceler. Denetim kaydının incelenmesi, bir denetim kayıt özetindeki bütün önemli olaylar için denetim kayıtlarının ve dokümanlarının incelenmesinden oluşur. Denetim kaydı incelemeleri, kaydın yetkisiz kişilerce erişilmediğinin doğrulanmasını, bütün kayıt girdilerinin kısaca gözden geçirilmesini ve kayıtlardaki alarmların veya düzensizliklerin daha kapsamlı şekilde araştırılmasını içerir. Denetim kaydı incelemeleri sonucunda alınan önlemler de kayıtlara geçirilir. 4.5.3 Denetim Kaydı Saklama Süresi Denetim kayıtları işlendikten sonra en az iki (2) ay tesiste saklanır ve daha sonra SUH § 4.6.2’ye göre arşivlenir. 4.5.4 Denetim Kaydının Korunması Elektronik ve manuel denetim kaydı dosyaları, yetkisiz kişilerin izlemesi, değişiklik yapması, silmesi veya başka herhangi bir şekilde erişimine karşı fiziksel ve lojik erişim kontrolleri kullanılarak korunur. 4.5.5 Denetim Kaydı Yedekleme Prosedürleri Denetim kayıtları her gün kademeli olarak yedeklenir ve haftada bir de tam yedekleme yapılır. - 53 - 4.5.6 Denetim Bilgisi Toplama Sistemi Başvuru safhasında, ağ ve işletim sistemi seviyesinde denetim verileri otomatik olarak yaratılır ve kaydedilir. Manuel olarak yaratılan denetim verileri e-Güven personelince kaydedilir. 4.5.7 Olaya Sebep Olan Sertifika Konusuna İhbarda Bulunma Denetim bilgisi toplama sistemi bir olay kaydettiği zaman, olaya sebep olan birey, kurum, cihaz veya başvuruya ihbarda bulunmaya gerek yoktur. 4.5.8 Güvenlik Açıklarının Değerlendirilmesi Denetim sürecindeki olayların kaydedilmesinin bir amacı de sistemin güvenlik açıklarının izlenmesidir. Lojik güvenlik açığı değerlendirmeleri (“LSVA’lar”) bu izlenen olayların gözden geçirilmesinden sonra yapılır, incelenir ve revize edilir. LSVA’lar gerçek zamanlı otomatik kayıt verilerine dayanır. LSVA’lar Güvenlik ve Denetim Şartları Kılavuzuna göre günlük, aylık ve yıllık olarak yerine getirilir. Bir yıllık LSVA, yıllık Uygunluk denetimi için bir girdi görevi görür. 4.6 Kayıtların Arşivlenmesi 4.6.1 Kaydedilen Olay Tipleri e-Güven, SUH § 4.5’de belirtilen denetim dokümantasyonunu içiren kayıtları tutar: • • kayıtlarına ilave olarak aşağıdakilerin e-Güven’in SUH’a uygunluğu ve Aboneleriyle yaptığı anlaşmalar altındaki diğer yükümlülükleri. Her bir Sertifika Başvurusuyla ve e-Güven İşlem/Servis Merkezinden verilen bütün Sertifikaların yaratılması, düzenlenmesi, kullanılması, iptali, sona ermesi ve yeniden anahtarlanması ya da yenilenmesiyle ilgili eylem ve bilgiler. e-Güven’in Sertifika Yaşam Döngüsü olay kayıtları arasında şunlar bulunur: • • • • • Her bir Sertifikada adı geçen Abonenin kimliği (sadece Abonenin açık isminin kayıtlı tutulduğu Sınıf 1 Sertifikalar hariç). Sertifika iptali talep eden kişilerin kimliği (sadece Abonenin açık isminin kayıtlı tutulduğu Sınıf 1 Sertifikalar hariç). Sertifikada gösterilen diğer durumlar. Zaman damgaları. SUH § 2.7 altında bir Uygunluk Denetiminin başarıyla yerine getirilmesiyle ilgili bilgiler de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla Sertifika düzenlemeyle ilgili belirli öngörülebilir maddi durumlar. Kayıtlar, doğru ve tam olarak sıralanması, saklanması, korunması ve çoğaltılması şartıyla elektronik veya basılı kopya halinde tutulabilir. - 54 - 4.6.2 Arşiv Saklama Periyodu Bir Sertifikayla ilgili kayıtlar, Sertifikanın sona ermesinden veya iptal edilmesinden sonra en az aşağıda belirtilen sürelerle saklanır. • • • Sınıf 1 Sertifikalar için beş (5) yıl. Sınıf 2 Sertifikalar için on (10) yıl. Sınıf 3 Sertifikalar için otuz (30) yıl. Gerekirse, e-Güven, yürürlükteki kanunlara uygunluk açısından daha uzun saklama süreleri uygulayabilir. 4.6.3 Arşivin Korunması e-Güven, SUH § 4.6.1 altında derlenmiş arşiv kayıtlarını sadece yetkili kişilerin arşivlenmiş verilere erişmesine izin verecek şekilde korur. Elektronik olarak arşivlenmiş veriler, uygun fiziksel ve lojik erişim kontrolleri kullanılarak, yetkisiz izleme, değiştirme, silme veya başka herhangi bir şekilde erişime karşı korunur. Arşivlenmiş verilerin tutulduğu araçlar ve bunları işlemek için gereken başvurular saklanarak, arşivlenmiş verilere SUH § 4.6.2’de belirtilen süreler içinde erişilebilmesi sağlanır. 4.6.4 Arşiv Yedekleme Prosedürleri e-Güven, düzenlenen Sertifika bilgisiyle ilgili elektronik arşivleri her gün kademeli olarak yedekler ve haftada bir de tam yedekleme yapar. SUH § 4.6.1’e göre derlenen basılı kayıtların kopyaları SUH § 4.8’e göre tesis dışındaki bir felaketten kurtarma tesisinde saklanır. 4.6.5 Kayıtlara Zaman Damgası Basma Şartları Sertifikalar, CRL’ler ve diğer iptal veri tabanı girdileri zaman ve tarih bilgisi içerir. Bu zaman bilgisinin, e-Güven’in Dijital Onay Servisinin aksine şifre esaslı olmadığına dikkat edilmelidir (Bkz. SUH § 1.1.2.2.2). 4.6.6 Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri Bkz. SUH § 4.6.3. 4.7 Anahtar Değiştirme e-Güven SO anahtar çiftleri SUH § 6.3.2’de tanımlanan ilgili maksimum sürelerinin sonunda servisten çıkarılır. SO anahtar çiftinin toplam onaylı süresi maksimum SO anahtar çifti süresini aşmadığı sürece e-Güven SO Sertifikaları yenilenebilir. Örneğin, servisten çıkarılan anahtar çiftlerinin yerini alması için, mevcut aktif anahtar çiftlerini tamamlamak için ve SUH § 6.1’e göre yeni servisleri desteklemek için gerektiğinde yeni SO anahtar çiftleri yaratılır. Bir Üst SO için SO Sertifikasının süresi dolmadan önce, Üst SO’nın hiyerarşisindeki kuruluşların eski Üst SO anahtar çiftinden yeni SO anahtar çift(ler)ine problemsiz geçişini - 55 - kolaylaştırmak için anahtar değiştirme prosedürleri uygulanır. e-Güven’in SO anahtar değiştirme süreci aşağıdaki şartlara tabidir: • • • 4.8 Bir Üst SO, Üst SO anahtar çiftinin kalan süresinin, Üst SO’nun hiyerarşisi içinde Alt SO’larca düzenlenen belirli tipte Sertifika/lar için onaylı Sertifika Geçerlilik Süresine eşit olduğu tarihten en fazla 60 gün önce yeni Alt SO Sertifikaları düzenlemeyi durdurur (“Sertifika Düzenleme Durdurma Tarihi”). “Sertifika Düzenleme Durdurma Tarihi”nden sonra alınan Alt SO (veya son kullanıcı Abone) Sertifika taleplerinin geçerliliğinin doğrulanmasıyla, Sertifikalar yeni bir anahtar çiftiyle imzalanır. Orijinal anahtar çifti kullanılarak düzenlenen son Sertifikanın sona erme tarihine ulaşılana kadar, Üst SO, orijinal Üst SO kapalı anahtarıyla imzalanmış CRL’ler düzenlemeye devam eder. SO’nun Operasyonunun Durdurulması Bir e-Güven SO’su, Managed PKI Müşterisi SO’su veya ASB Müşterisi SO’sunun operasyonu durdurması gerektiği takdirde, e-Güven, SO’nun operasyonu durdurulmadan önce Aboneleri, İtimat Eden Tarafları ve diğer ilgili kuruluşları bundan haberdar etmek için ticari açıdan gerekli her türlü çabayı gösterir. SO’nun operasyonunun durdurulması gereken hallerde, e-Güven, Müşteri SO’su durumunda ise ilgili Müşteri, bir operasyon durdurma planı hazırlayarak Müşterilerin, Abonelerin ve İtimat Eden Tarafların zararını en aza indirir. Bu durdurma planları, ilgili oldukları ölçüde aşağıdakileri hedefleyebilir: • • • • • • • • • • Aboneler, İtimat Eden Taraflar ve Müşteriler gibi durdurmadan etkilenen taraflara ihbarda bulunulması ve SO’nun durumu hakkında bilgi verilmesi. Bu ihbarın maliyetlerinin karşılanması. e-Güven’in SO’ya verdiği Sertifikanın iptali. SO’nun arşivlerinin ve kayıtlarının SUH § 4.6’da belirtilen sürelerle saklanması. Abone ve Müşteri destek servislerine devam edilmesi. CRL’ler düzenlenmesi veya çevrim içi durum kontrol servislerinin korunması gibi iptal servislerine devam edilmesi. Gerekirse, son kullanıcı Abonelerin ve Alt SO’ların süresi dolmamış ve iptal edilmemiş olan Sertifikalarının iptali. Sertifikalarının süresi dolmamış ve iptal edilmemiş olan Abonelere, durdurma planı veya hükmü çerçevesinde tazminat ödenmesi (gerekirse) veya alternatif olarak, başka bir SO’nun bunun yerine yeni Sertifikalar düzenlemesi. SO’nun kapalı anahtarının ve bu kapalı anahtarın saklandığı donanım elemanlarının düzenlenmesi. SO’nun servislerinin müteakip bir SO’ya geçişi için gereken hükümler. 5. Fiziksel, Prosedür ve Personel Güvenlik Kontrolleri e-Güven, işbu SUH’un güvenlik şartlarını destekleyen e-Güven Güvenlik Politikasını uygulamaya sokmuştur. - 56 - 5.1 Fiziksel Kontroller 5.1.1 Tesisin Yeri ve Yapısı e-Güven’in SO ve KO operasyonları, e-Güven’in, Güvenlik ve Denetim Şartlarını karşılayan İstanbul Türkiye’deki tesislerinde yürütülür. Bütün e-Güven SO ve KO operasyonları, gizli veya açık müdahaleleri durduracak, önleyecek ve tespit edecek şekilde tasarlanmış, fiziksel olarak korunan bir ortam içinde yürütülür. e-Güven’in ana tesisleri, SUH § 5.1.2’de tarif edilen yedi adede kadar fiziksel güvenlik seviyesine sahiptir: • • • • • KO geçerlilik kontrol operasyonları Seviye 3’de yapılır SO işlevleri Seviye 4’de yerine getirilir VeriSign Roaming Sunucusu da dahil hassas sunucular Seviye 4’de bulunur Çevrim içi SO şifreleme modülleri Seviye 5’de bulunur Çevrim dışı SO şifreleme modülleri Seviye 7’de bulunur Managed PKI Müşterileri, kendi bünyelerinde yürütecekleri operasyonlarla ilgili güvenli tesislerinin Kuruluş Güvenlik Kılavuzundaki şartları karşılamasını sağlamalıdır. 5.1.2 Fiziksel Erişim e-Güven SO sistemleri, 4 fiziksel güvenlik seviyesiyle korunur ve daha yüksek bir seviyeye erişim yapılmadan önce alçak seviyelere erişilmelidir. Ayrıca, fiziksel güvenlik sistemi, anahtar yönetimi güvenliği için üç ilave seviye içerir. Her bir seviyenin özellikleri ve şartları aşağıdaki Tablo 15’de verilmiştir. Seviye Fiziksel Güvenlik Seviyesi 1 Fiziksel Güvenlik Seviyesi 2 Fiziksel Güvenlik Seviyesi 3 Tarif Fiziksel Güvenlik Seviyesi 1, tesis için en dış fiziksel güvenlik duvarına karşılık gelir. Seviye 2, dinlenme odaları ve ortak koridorlar da dahil ortak alanları içerir. Seviye 3, gizli SO operasyonunun yapıldığı ilk seviyedir. Gizli SO operasyonu, kimlik kontrolü, doğrulama ve düzenleme gibi sertifikalandırma işlemleriyle ilgili herhangi bir faaliyettir. - 57 - Erişim Kontrol Mekanizmaları Bu seviyeye erişmek için bir personel giriş kartı kullanılması gerekir. Bu seviyeye fiziksel erişim otomatik olarak kayıtlara geçirilir ve videoya kaydedilir. Seviye 2, personel giriş kartı kullanılarak herkes için SO tesisinin ortak alanlarına bireysel erişim kontrolü sağlar. Seviye 2’ye fiziksel erişim otomatik olarak kayıtlara geçirilir. Seviye 3, biyometri de dahil iki faktörlü kimlik kontrolü kullanımıyla bireysel erişim kontrolü sağlar. Güvenilir olmayan personelin veya ziyaretçilerin refakatçi olmadan Seviye 3 güvenli alana girmesine izin verilmez. Seviye 3’e fiziksel erişim otomatik olarak kayıtlara geçirilir. Seviye Fiziksel Güvenlik Seviyesi 4 Tarif Seviye 4, özellikle gizli SO operasyonlarının yapıldığı seviyedir. İki ayrı Seviye 4 alanı vardır: çevrim içi Seviye 4 veri merkezi ve çevrim dışı Seviye 4 anahtar yaratma prosedürü odası. Anahtar Yönetimi Seviyeleri 5-7 Anahtar Yönetimi seviyeleri 5-7, CSU’ların (kriptografik imzalama üniteleri) ve anahtarlama malzemesinin hem çevrim içi, hem de çevrim dışı kaydını korur. Erişim Kontrol Mekanizmaları Seviye 4 veri merkezi bireysel erişim kontrolünü, anahtar yaratma prosedürü odası da ikili kontrolü sağlar; bu işlevlerin her biri, biyometri de dahil iki faktörlü kimlik kontrolü kullanılarak yerine getirilir. Refakatçisiz Seviye 4 erişimi için onaylanmış bireyler Güvenilen Personel Politikasını karşılamalıdır. Seviye 4’e fiziksel erişim otomatik olarak kayıtlara geçirilir. Çevrim içi CSU’lar kilitli kabinler kullanılarak korunur. Çevrim dışı CSU’lar ise kilitli kasalar, kabinler ve konteynerler kullanılarak korunur. CSU’lara ve anahtarlama malzemesine erişim e-Güven’in görev ayrım şartlarına göre sınırlandırılır. Bu seviyelerde kabinlerin veya konteynerlerin açılması ve kapanması denetim amaçlarıyla kayıtlara geçirilir. Aşamalı sınırlayıcı fiziksel erişim ayrıcalıkları her bir seviyeye erişimi kontrol eder. Tablo 15 – Fiziksel Güvenlik Seviyeleri 5.1.3 Elektrik ve Klima Sistemleri e-Güven’in güvenli tesisleri aşağıdaki sistemlere ait ana ve yedek sistemlerle donatılmıştır: • • Elektrik gücüne sürekli ve kesintisiz erişim sağlamak için elektrik sistemleri. Sıcaklığı ve nispi nemi kontrol etmek için ısıtma/havalandırma/klima sistemleri. 5.1.4 Su Etkisi e-Güven, suyun e-Güven sistemlerine etkisini en aza indirmek için makul önlemleri almalıdır. 5.1.5 Yangın Önleme ve Yangına Karşı Korunma e-Güven, yangınları veya hasara yol açan diğer alev veya duman vakalarını önlemek ve söndürmek için makul önlemleri almıştır. e-Güven’in yangın önleme ve korunma önlemleri mahalli yangın emniyet yönetmeliklerine uygun şekilde tasarlanmıştır. 5.1.6 Araçların Saklanması Üretimde kullanılan yazılım ve veriler ile denetim, arşiv veya yedekleme bilgilerini içeren bütün araçlar e-Güven tesislerinde veya erişimi yetkili kişilerle sınırlandırılarak ve araçları kazayla hasara (örneğin, su, yangın ve elektromanyetik) karşı koruyacak şekilde tasarlanarak, uygun - 58 - fiziksel ve lojik erişim kontrollerine sahip güvenli tesis dışı depolama tesislerinde muhafaza edilir. 5.1.7 Atık Atma Gizli dokümanlar ve malzemeler atılmadan önce kıyılır. Gizli bilgileri toplamak veya iletmek için kullanılan araçlar atılmadan önce okunamaz hale getirilir. Şifreleme cihazları atılmadan önce fiziksel olarak imha edilir veya imalatçının talimatlarına göre sıfırlanır. Diğer atıklar e-Güven’in normal atık atma şartlarına göre atılır. 5.1.8 Tesis Dışı Yedekleme e-Güven, kritik sistem verilerini, denetim kaydı verilerini ve diğer gizli bilgileri rutin olarak yedekler. 5.2 Prosedür Kontrolleri 5.2.1 Güvenilen Şahıslar Güvenilen Şahıslar arasında, aşağıda sayılan hususları maddi olarak etkileyebilecek kişiler, kimlik kontrolü veya şifreleme operasyonlarına erişim veya kontrol yetkisine sahip bütün çalışanlar, yükleniciler ve danışmanlar yer alır: • • • • Sertifika Başvurularındaki bilgilerin doğrulanması. Sertifika Başvuruları, iptal veya yenileme talepleri ya da kayıt bilgisiyle ilgili kabul, red veya diğer işlemler. Veri bankasının sınırlı bölümlerine erişim yetkisine sahip personel de dahil, Sertifikaların düzenlenmesi veya iptali. Abone bilgisinin veya taleplerinin işlenmesi. Güvenilen Şahıslar arasında aşağıdakiler sayılabilir (ancak bunlarla sınırlı değildir): • • • • • • Müşteri servis personeli. Şifreleme işlemleri personeli. Güvenlik personeli. Sistem yönetim personeli. Tayin edilmiş mühendislik personeli. Altyapı güvenliğini yönetmek için tayin edilmiş yönetim personeli. e-Güven, bu bölümde tanımlanan personel kategorilerini bir Güvenilen Konuma sahip Güvenilen Şahıslar olarak kabul eder. Güvenilen Konuma sahip Güvenilen Şahıslar olmak isteyen kişiler SUH § 5.3’deki seçim şartlarını tam olarak yerine getirmelidir. - 59 - 5.2.2 Her Bir Görev için Gereken Kişi Sayısı e-Güven, görevlerin sorumluluklara göre ayrılmasını sağlamak için bir politika ve sıkı kontrol prosedürleri uygular. SO şifreleme donanımına (kriptografik imzalama ünitesi veya CSU) ve ilgili anahtar malzemesine erişim gibi en hassas görevler birden fazla Güvenilen Şahıs gerektirir. Bu dahili kontrol prosedürleri, cihaza fiziksel veya lojik erişime sahip olmak için en az iki güvenilen personelin gerekli olmasını sağlayacak şekilde tasarlanmıştır. SO şifreleme donanımına erişim, ilk alındığı ve kontrolden geçirildiği andan son lojik ve/veya fiziksel imhaya kadar donanımın ömrü boyunca daima birden fazla Güvenilen Şahısla sağlanır. Bir modül, işlem kodlarıyla devreye alındığında, cihaza hem fiziksel, hem de lojik erişim üzerinde ikili kontrol sağlamak için süreklilik arz eden erişim kontrolleri uygulanır. Modüllere fiziksel erişime sahip kişiler “Kapalı Anahtar Grubu Paylaşımı”na sahip değildir, “Kapalı Anahtar Grubu Paylaşımı”na sahip olan kişiler de modüllere fiziksel erişime sahip değildir. SO kapalı anahtar aktivasyon verileri ve Kapalı Anahtar Grubu Paylaşımı şartları SUH § 6.2.7’de verilmiştir. Sınıf 3 Sertifikaların geçerliliğinin kontrolü ve düzenlenmesi gibi diğer operasyonlar en az iki Güvenilen Şahsın katılımını gerektirir. 5.2.3 Her Bir Görev için Tanımlama ve Kimlik Kontrolü Güvenilen Şahıs olmak isteyen tüm personel için kimlik doğrulaması, bu personelin, e-Güven İnsan Kaynakları [veya eşdeğeri] ya da güvenlik işlevlerini yerine getiren Güvenilen Şahısların huzurunda şahsen (fiziksel olarak) bulunmasını ve resmi kimlik belgelerinin (örneğin, pasaportlar ve sürücü belgeleri) kontrolünü gerektirir.Kimlik, ayrıca, SUH § 5.3.1’deki mesleki bilgi kontrol prosedürleriyle de doğrulanır. e-Güven, önce personelin Güvenilen Konum elde ettiğinden emin olur ve bu personele aşağıdakiler verilmeden önce departman onayı alınır: • • 5.3 Erişim cihazları ve gerekli tesislere erişim yetkisi. e-Güven SO, KO veya diğer IT sistemlerine erişim ve bunlar üzerinde belirli işlevleri yerine getirmek için elektronik kimlik belgeleri. Personel Kontrolleri 5.3.1 Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları Güvenilen Şahıs olmak isteyen personel, görev sorumluluklarını gerektiği gibi ve tatmin edici şekilde yerine getirmesi için gereken mesleki bilgi, nitelik ve deneyim önşartının yanı sıra resmi sözleşmeler altındaki sertifikalandırma hizmetlerini yerine getirmesi için gereken resmi makam izinlerini (varsa) kanıtlayan belgeleri sunmalıdır. Güvenilen Konumda olan personel için mesleki bilgi kontrolleri en az 5 yılda bir tekrarlanır. - 60 - 5.3.2 Mesleki Bilgi Kontrol Prosedürleri Personel bir Güvenilen Konumda çalışmaya başlamadan önce, e-Güven, aşağıdakileri içeren mesleki bilgi kontrolleri yapar: • • • • • Önceki işinin doğrulanması Mesleki referansın kontrolü Aldığı en yüksek ve en çok ilişkili eğitim derecesinin doğrulanması Adli sicil soruşturması Vergi ve vatandaşlık numarası Mahalli kanunlarda veya diğer koşullarda bir yasaklama veya sınırlama bulunmasından dolayı bu bölümde belirtilen şartların herhangi birinin yerine getirilememesi durumunda, e-Güven, ilgili resmi makam tarafından mesleki bilgi kontrolü temin edilmesi de dahil olmak ve fakat bununla sınırla kalmamak şartıyla, kanunların izin verdiği ölçüde benzer bilgiler veren bir alternatif araştırma tekniği kullanır. Bir mesleki bilgi kontrolünde ortaya çıkan ve Güvenilen Şahıs adaylarının reddedilmesi yol açan ya da mevcut bir Güvenilen Şahsa karşı belirli bir hareket tarzının uygulanması için zemin oluşturduğu düşünülebilecek faktörler genel olarak aşağıda sıralanmaktadır: • • • Aday veya Güvenilen Şahsın hatalı veya yanıltıcı beyanlarda bulunması. Büyük ölçüde olumsuz veya güvenilir olmayan kişisel referanslar. Belirli suçlardan hüküm giymiş olma. İnsan kaynakları ve güvenlik personeli bu bilgileri içeren raporları değerlendirir ve mesleki bilgi kontrolüyle ortaya çıkan davranışın tipi, büyüklüğü ve sıklığı ışığında uygun hareket tarzını belirler. Bu hareket tarzları arasında, Güvenilen Konum adaylarına yapılan iş tekliflerinin iptal edilmesi veya mevcut Güvenilen Şahısların konumlarının sona erdirilmesi gibi önlemler sayılabilir. Bir mesleki bilgi kontrolünde ortaya çıkan bilginin hareket tarzını belirlemede kullanılması, ilgili mevzuat hükümleri ve sözleşmelere göre tespit edilir. 5.3.3 Eğitim Şartları e-Güven, işe yeni aldığı personelini eğitimden geçirir ve personelinin iş sorumluluklarını gerektiği gibi ve tatmin edici düzeyde yerine getirmesi için gereken meslek içi eğitim zorunludur. e-Güven eğitim programlarını periyodik olarak gözden geçirir ve gerekirse geliştirir. e-Güven’in eğitim programları bireylerin sorumluluklarına göre hazırlanır ve aşağıdakilerden gerekli olanları içerir: • • Temel PKI kavramları. İş sorumlulukları. - 61 - • • • • e-Güven güvenlik ve operasyon politikaları ve prosedürleri. Kurulan donanım ve yazılımın kullanımı ve işletimi. Olay ve Tehdit raporlama ve işlemleri. Felaketten Kurtarmaı ve iş devamlılığı prosedürleri. 5.3.4 Eğitim Sıklığı ve Şartları e-Güven, personeline, iş sorumluluklarını gerektiği gibi ve tatmin edici düzeyde yerine getirmesi ve gerekli uzmanlık seviyesini muhafaza etmesini sağlamak için gereken ölçüde ve sıklıkta bilgi güncelleme eğitimi verir. Periyodik güvenlik bilinci eğitimi devamlı olarak verilmektedir. 5.3.5 İş Rotasyon Sıklığı ve Sırası Koşul yoktur. 5.3.6 Yetkisiz Eylemlere Karşı Yaptırımlar Yetkisiz eylemler veya e-Güven politikalarının ve prosedürlerinin başka şekillerde ihlali durumunda gereken disiplin önlemleri alınır. Disiplin önlemleri arasında sertifikanın iptali sayılabilir ve bu önlemler yetkisiz eylemlerin sıklığı ve derecesiyle orantılıdır. 5.3.7 Sözleşmeli Personel Şartları Sınırlı durumlarda, Güvenilen Konumları doldurmak için bağımsız yükleniciler veya danışmanlar kullanılabilir. Bu yükleniciler veya danışmanlar, eşdeğer konumdaki e-Güven personeliyle aynı mesleki koşullara ve güvenlik koşullarına tâbi tutulur. SUH § 5.3.2’de belirtilen mesleki bilgi kontrol prosedürlerini tamamlamamış olan bağımsız yüklenicilerin ve danışmanların e-Güven güvenli tesislerine ancak refakatçi eşliğinde ve doğrudan Güvenilen Şahısların nezareti altında girmesine izin verilir. 5.3.8 Personele Verilen Dokümanlar e-Güven’in PKI servislerinin işletimiyle ilgili e-Güven personelinin bu SUH’u, VTN’in SP’sini ve e-Güven Güvenlik Politikasını okuması gerekir. e-Güven, personeline, iş sorumluluklarını gerektiği gibi ve tatmin edici düzeyde yerine getirmesi için gerekli zorunlu eğitimi ve diğer dokümanları verir. 6. Teknik Güvenlik Kontrolleri 6.1 Anahtar Çifti Yaratma ve Kurma 6.1.1 Anahtar Çifti Yaratma SO anahtar çifti yaratma işlemi, yaratılan anahtarlar için güvenliği ve gerekli şifreleme gücünü temin eden Güvenilir Sistemler kullanılarak, önceden seçilmiş birden fazla eğitimli ve güvenilen - 62 - şahıslarca yerine getirilir. PCA için ve Sertifika Veren Kök SO’lar için, anahtar yaratmada kullanılan şifreleme modülleri FIPS 140-1 Seviye 3 şartlarını karşılar. Diğer SO’lar (e-Güven SO’ları ve Managed PKI Müşterisi SO’ları dahil) için, kullanılan şifreleme modülleri en azından FIPS 140-1 Seviye 2 şartlarını karşılar. Bütün SO anahtar çiftleri, önceden planlanmış Anahtar Yaratma Prosedürlerinde, Anahtar Yaratma Prosedürü Referans Kılavuzunun, SO Anahtar Yönetim Aracı Kullanma Kılavuzunun ve Güvenlik ve Denetim Şartları Kılavuzunun şartlarına göre yaratılır. Her bir anahtar yaratma prosedüründe yapılan faaliyetler, katılan bütün bireylerce kaydedilir, tarih atılır ve imzalanır. Bu kayıtlar denetim ve izleme amacıyla, e-Güven Yönetiminin uygun gördüğü süreyle saklanır. KO anahtar çiftleri, genelde, web tarama yazılımına sahip bir FIPS 140-1 Seviye 1 onaylı şifreleme modülü kullanılarak KO tarafından yaratılır. Managed PKI Müşterileri, Otomatik Yönetim sunucularının kullandığı kod çiftini yaratır. eGüven, Otomatik Yönetim sunucusu anahtar çifti yaratma işleminin bir FIPS 140-1 Seviye 2 onaylı şifreleme modülü kullanılarak yerine getirilmesini tavsiye eder. Son kullanıcı anahtar çiftleri genelde Abone tarafından yaratılır. Sınıf 1 Sertifikalar, Sınıf 2 Sertifikalar ve Sınıf 3 anahtar/nesne imzalama Sertifikaları için, Abone, tipik olarak, anahtar yaratma için web tarayıcı yazılımına sahip bir FIPS 140-1 Seviye 1 onaylı şifreleme modülü kullanır. Sunucu Sertifikaları için, Abone, tipik olarak, web sunucu yazılımına sahip anahtar yaratma ünitesi kullanır. 6.1.2 Kuruluşa Özel Anahtar Verilmesi Son kullanıcı Abone anahtar çiftleri tipik olarak son kullanıcı Abone tarafından yaratılır; bu nedenle, bu gibi durumlarda bir Aboneye özel anahtar verilmesi söz konusu değildir. KO veya son kullanıcı Abone anahtar çiftlerinin, donanım elemanlarında veya akıllı kartlarda önceden yaratılmış olduğu durumlarda, bu cihazlar, ticari teslimat servisi ve yetkisiz kişiler tarafından erişimi gösterir ambalaj kullanılarak KO’ya veya son kullanıcı Aboneye dağıtılır. Cihazı devreye sokmak için gereken aktivasyon verileri, bir bant dışı proses kullanılarak KO’ya veya son kullanıcı Aboneye iletilir. e-Güven bu cihazların dağıtımını kaydeder. Anahtar kurtarma servisleri için Managed PKI Key Manager’ı kullanan Managed PKI Müşterileri için, Müşteri, şifreleme anahtar çiftleri yaratabilir (Sertifika Başvurularını onayladıkları Aboneler adına) ve bu anahtar çiftlerini, şifre korumalı bir PKCS # 12 dosya vasıtasıyla Abonelere iletebilir. 6.1.3 Sertifika Düzenleyiciye Açık Anahtar Verilmesi Son kullanıcı Aboneler ve KO’lar, Güvenli Soketler Seviyesince (SSL) güvenliği sağlanan bir oturumda bir PKCS#10 Sertifika İmzalama Talebi (CSR) veya başka dijital imzalı paket kullanarak elektronik sertifikalandırma için açık anahtarlarını e-Güven’e sunarlar. SO, KO veya son kullanıcı Abone anahtar çiftlerinin e-Güven tarafından yaratılması durumunda bu şart geçerli değildir. - 63 - 6.1.4 Kullanıcılara SO Açık Anahtarının Verilmesi e-Güven, PCA’ları ve kök SO’ları için olan SO Sertifikalarını, Microsoft ve Netscape web tarayıcı yazılımını dahil ederek Abonelerin ve İtimat Eden Tarafların kullanımına sunar. Yeni PCA ve kök SO Sertifikaları yaratıldığında, e-Güven, yeni tarayıcı sürümlerine ve güncellemelerine dahil edilmek üzere bu yeni Sertifikaları web tarayıcı üreticilerine verebilir. e-Güven, genelde, Sertifikanın düzenlenmesiyle birlikte son kullanıcı Aboneye tüm sertifika zincirini (düzenleyici SO ve zincirdeki herhangi bir SO dahil) verir. e-Güven SO Sertifikaları da directory.e-guven.com adresindeki e-Güven LDAP Dizininden indirilebilir. 6.1.5 Anahtarların Büyüklüğü e-Güven SO anahtar çiftleri, kod çifti 1000 bit RSA olan eski versiyon RSA Güvenli Sunucu SO’su hariç olmak üzere en az 1024 bit RSA büyüklüğündedir. VeriSign’ın üçüncü kuşak (G3) PCA’ları 2048 bit RSA kod çiftlerine sahiptir. e-Güven, Kayıt Otoritelerinin ve son kullanıcı Abonelerin 1024 bit RSA anahtar çiftleri yaratmasını tavsiye eder, fakat bazı eski versiyon uygulamaları ve web sunucuları desteklemek için 512 bit RSA anahtar çiftleri kullanılmasına da izin verir. 6.1.6 Genel Kod Parametrelerinin Yaratılması İlgili değildir. 6.1.7 Parametre Kalitesi Kontrolü İlgili değildir. 6.1.8 Donanım/Yazılım aNAHTARI Yaratılması e-Güven, SO anahtar çiftlerini uygun donanım şifreleme modüllerinde SUH § 6.2.1’e göre yaratır. KO ve son kullanıcı Abone anahtar çiftleri donanımda veya yazılımda yaratılabilir. 6.1.9 Anahtar Kullanımının Amaçları X.509 Versiyon 3 Sertifikalar için, e-Güven, genelde, Sertifikaların Anahtar Kullanım ekini RFC 2459: Internet X.509 Açık Anahtar Altyapısı Sertifikasına ve Ocak 1999 CRL Profiline göre yayınlar. VeriSign X.509 Versiyon 3 Sertifikalarda Anahtar Kullanım eki, aşağıdaki istisnalar doğrultusunda Tablo 16’ya göre yayınlanır: • • • • Anahtar Kullanım eki, Global Sunucu Kimlikleri, Sınıf 1 bireysel Sertifikalar ve Sınıf 2 bireysel Sertifikalar için kullanılmaz. Anahtar Kullanım ekinin önem derecesi, E-Güven Sınıf 3 Managed PKI Kimlik Kontrol Servisleri Bürosu SO’su için TRUE’ya ayarlanır. Managed PKI Key Manager vasıtasıyla ikili anahtar çifti imzalı Sertifikalar için red koruması bit ayarına izin verilir. Anahtar Kullanım ekinin önem derecesi, gelecekteki başka Sertifikalar için TRUE’ya ayarlanabilir. - 64 - CA’lar Önem Derecesi 0 digitalSignature 1 nonRepudiation 2 keyEncipherment 3 dataEncipherment 4 keyAgreement 5 keyCertSign 6 CRLSign 7 encipherOnly 8 decipherOnly İkili Anahtar Çifti İmzası (Managed PKI Key Manager) İkili Anahtar Çifti Şifreleme (Managed PKI Key Manager) FALSE Sınıf 3 Sunucu ve Anahtar/Nesne İmzalama Son Kullanıcı Aboneler; Otomatik Yönetim Elemanları FALSE FALSE FALSE Clear Set Set Clear Clear Clear Clear Clear Clear Set Clear Set Clear Clear Clear Clear Clear Clear Clear Clear Set Clear Clear Clear Set Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Tablo 16 – Anahtar Kullanım Ekinin Ayarları Bazı SO ve son kullanıcı Abone Sertifikaları X.509 Versiyon 1 Sertifikalardır (Bkz. SUH § 7.1.1) ve bu yüzden de Anahtar Kullanım ekinin kullanımını desteklemezler. Kapalı Anahtar Koruması. e-Güven, e-Güven, Managed PKI Müşterisi ve ASB Müşterisi SO’sunun kapalı anahtarlarının güvenliğini sağlamak için fiziksel, lojik ve prosedür kontrollerinden oluşan bir kombinasyonu uygulamıştır. Lojik ve prosedür kontrolleri SUH § 6.2’de tarif edilmektedir. Fiziksel erişim kontrolleri SUH § 5.1.2’de tarif edilmektedir. Abonelerin, sözleşmeyle, kapalı anahtarların kaybını, ifşasını, değiştirilmesini ve yetkisiz kullanımını önlemek için gerekli önlemleri alması istenir. 6.1.10 Şifreleme Modülleri için Standartlar PCA ve Sertifika Düzenleyen Kök SO anahtar çifti yaratma ve SO kapalı anahtar saklama işlemleri için, VeriSign ve e-Güven, FIPS 140-1 Seviye 3’de onaylanmış veya onun şartlarını karşılayan donanım şifreleme modülleri kullanır. Diğer SO’lar için, e-Güven, en az FIPS 140-1 Seviye 2’de onaylanmış donanım şifreleme modülleri kullanır. 6.1.11 Kapalı Anahtarın (m/n) Birden Fazla Şahısça Kontrolü e-Güven, hassas SO şifreleme işlemlerinin yerine getirilmesi için birden fazla güvenilen şahsın katılımını gerektiren teknik ve prosedür mekanizmaları uygulamaya koymaktadır. e-Güven, bir SO kapalı anahtarını kullanmak için gereken aktivasyon verilerini “Kapalı Anahtar Grubu Sahipleri” olarak adlandırılan eğitimli ve güvenilen şahısların sahip olduğu “Kapalı Anahtar Grupları” isimli ayrı kısımlara ayırmak için “Kapalı Anahtar Grubu Paylaşımı”nı kullanır. - 65 - Modüle kayıtlı bir SO kapalı anahtarını etkinleştirmek için, belirli bir donanım şifreleme modülü için yaratılan ve dağıtılan toplam Kapalı Anahtar Grubu (n) içindeki eşik sayıda Kapalı Anahtar Grubu (m) gereklidir. Aşağıdaki Tablo 17, farklı tipte e-Güven SO’ları için gerekli anahtar grubu eşik sayısını ve dağıtılan toplam anahtar grubu sayısını gösterir. Felaketten Kurtarma Servisi elemanları için dağıtılan anahtar grubu sayısının operasyon elemanları için dağıtılan sayıdan az olduğuna, gerekli anahtar grubu eşik sayısının ise aynı kaldığına dikkat edilmelidir. Kapalı Anahtar Grupları SUH § 6.4.2’ye göre korunur. Kuruluş Sınıf 1 PCA Sınıf 2 PCA Sınıf 3 PCA Sınıf 1 SO ve alt SO’lar Sınıf 2 SO ve alt SO’lar Sınıf 3 SO ve alt SO’lar Son Kullanıcı Abone Sertifikalarını İmzalamak amacıyla SO’nun Kapalı Anahtarını Etkinleştirmek için Gerekli Kapalı Anahtar Grubu Paylaşımları ilgili değil ilgili değil ilgili değil SO’ların Sertifikasını İmzalamak için Gereken Kapalı Anahtar Grubu Paylaşımları Toplam Dağıtılan Kapalı Anahtar Grubu Paylaşımları Felaketten Kurtrma Paylaşımları ı Gerekli Paylaşımlar Toplam Paylaşımlar 3 3 3 3 3 3 3 3 12 12 12 5 3 5 5 5 5 3 3 5 3 5 3 3 5 3 5 Tablo 17 – Kapalı Anahtar Paylaşımı Dağılım ve Eşikleri 6.1.12 Kapalı Anahtarın Geçici Olarak Üçüncü Şahıslara Verilmesi e-Güven, SO, KO veya son kullanıcı Abonelerin kapalı anahtarlarını, resmi makamların erişimi amacıyla dahi olsa herhangi bir üçüncü şahsa vermez. Managed PKI Key Manager’ı kullanan Managed PKI Müşterileri, Sertifika Başvurularını onayladıkları Abonelerin kapalı anahtarlarının kopyalarını geçici olarak üçüncü şahıslara verebilir. e-Güven, Abonelerin kapalı anahtarlarının kopyalarını saklamaz, fakat aşağıda tarif edilen Abone anahtarı kurtarma sürecinde önemli bir rol oynar. • • Yedeklenen her bir son kullanıcı anahtar çifti için Managed PKI Key Manager, rasgele olarak, Müşterinin tesisindeki yedeklenmiş kapalı anahtarı şifrelemek için kullanılan bir simetrik anahtar yaratır. Bu şifrelenmiş kapalı anahtar daha sonra Müşterinin tesisindeki yerel veri tabanında saklanır. Simetrik anahtar, aynı zamanda, e-Güven anahtar kurtarma servisine ait bir açık anahtar kullanılarak da şifrelenir ve Müşterinin tesisindeki yerel veri tabanında saklanır. Bir son kullanıcının yedeklenmiş kapalı anahtarının kurtarılması gerektiğinde, Managed PKI İdarecisi, Müşterinin tesisinde Key Manager’ın sakladığı anahtar tarihçesini kullanarak uygun anahtarı tanımlar ve buna karşılık gelen şifrelenmiş simetrik anahtarı e-Güven Anahtar Kurtarma Servisine gönderir. e-Güven Anahtar Kurtarma Servisi şifreyi çözerek simetrik - 66 - anahtarı geri gönderir ve bu anahtar yerel olarak kullanılarak veri tabanından son kullanıcının kapalı anahtarının şifresi çözülür. Bu anahtar ve buna karşılık gelen sertifika böylece son kullanıcıya tekrar dağıtılabilir. 6.1.13 Kapalı Aanahtarın Yedeklenmesi e-Güven, rutin ve felaketten kurtarma amaçlarıyla SO kapalı anahtarlarının yedek kopyalarını yapar. Bu anahtarlar donanım şifreleme modüllerinde ve ilgili anahtar saklama cihazlarında şifrelenmiş formda saklanır. SO kapalı anahtarlarının saklanmasında kullanılan şifreleme modülleri SUH § 6.2.1’in şartlarını karşılar. So kapalı anahtarları SUH § 6.2.6’ya göre yedekleme donanım şifreleme modüllerine kopyalanır. SO kapalı anahtarlarının tesis içi yedek kopyalarını içeren modüller SUH §§ 5.1, 6.2.1’in şartlarına tâbidir. SO kapalı anahtarlarının felaketten kurtarma kopyalarını içeren modüller SUH § 4.8.2’nin şartlarına tâbidir. e-Güven KO kapalı anahtarlarının kopyalarını saklamaz. Son kullanıcı Abone kapalı anahtarlarının yedeklenmesi için Bkz. SUH § 6.2.3. 6.1.14 Kapalı Anahtarların Arşivlenmesi e-Güven SO anahtar çiftleri geçerlilik süresinin sonuna ulaştığında bu SO anahtar çiftleri en az 5 yıl süreyle arşivlenir. Arşivlenen SO anahtar çiftleri, SUH § 6.2.1’in şartlarını karşılayan donanım şifreleme modülleri kullanılarak güvenli biçimde saklanır. Prosedür kontrolleri, arşivlenen SO anahtar çiftlerinin üretim kullanımına dönmesini önler. Arşiv süresinin sonunda, arşivlenmiş SO kapalı anahtarları SUH § 6.2.9’a göre güvenli biçimde imha edilir. e-Güven, KO ve Abone kapalı anahtarlarının kopyalarını arşivlemez. 6.1.15 Kapalı Anahtarların Şifreleme Modülüne Girilmesi e-Güven, SO anahtar çiftlerini kodların kullanılacağı donanım şifreleme modüllerinde yaratır. eGüven, ayrıca, rutin ve felaketten kurtarma amaçlarıyla bu SO anahtar çiftlerinin kopyalarını yapar. SO anahtar çiftlerinin başka bir donanım şifreleme modülünde yedeklenmesi durumunda bu anahtar çiftleri modüller arasında şifrelenmiş formda aktarılır. 6.1.16 Kapalı Anahtarları Etkinleştirme Yöntemleri Bütün e-Güven Altalanı Katılımcıları, kapalı anahtarlarına ait aktivasyon verilerini kaybolmaya, çalınmaya, değiştirilmeye, izinsiz ifşa edilmeye veya yetkisiz kullanıma karşı koruması gerekir. 6.1.16.1 Son Kullanıcı Abone Kapalı Anahtarları Bu bölüm, son kullanıcı Abonelerin kapalı anahtarlarına ait etkinleştirme verilerinin VTN Standartlarını e-Güven Altalanına uygular. Ayrıca, Aboneler, akıllı kartların, biyometrik erişim cihazlarının ve kapalı anahtar kaydı için diğer donanım elemanlarını içeren, günümüzde mevcut geliştirilmiş kapalı anahtar koruma mekanizmalarını kullanma ihtiyarına sahiptir. İki faktörlü - 67 - kimlik kontrol mekanizmasının kullanımı (örneğin, eleman ve parola, biyometrik ve eleman ya da biyometrik ve parola) teşvik edilir. 6.1.16.1.1 Sınıf 1 Sertifikalar Sınıf 1 kapalı anahtar koruması için VTN Standardı, Abonelerin izni olmadan Abonelerin iş istasyonlarının ve ilgili kapalı anahtar kullanımını önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için Abonelerin ticari açıdan makul önlemleri alması içindir. Ayrıca, e-Güven, Abonelerin, örneğin kapalı anahtar kullanımı için bir şifre, bir Windows oturum açma veya ekran koruyucu şifre ya da bir ağ oturumu açma şifresi içeren kapalı anahtarı etkinleştirmeden önce Abonenin kimlik kontrolü için SUH § 6.4.1’e göre bir şifre kullanmasını veya eşdeğer güçte bir güvenlik uygulamasını tavsiye eder. 6.1.16.1.2 Sınıf 2 Sertifikalar Sınıf 2 kapalı anahtar koruması için VTN Standardı, Abonelerin aşağıdaki işlemleri gerçekleştirmesini gerekli kılar: • • Örneğin kapalı anahtar kullanımı için bir şifre, bir Windows oturum açma veya ekran koruyucu şifre, bir ağ oturumu açma şifresi ya da e-Güven Roaming Servisiyle bağlantılı bir şifre içeren kapalı anahtar etkinleştirmeden önce Abonenin kimlik kontrolü için SUH § 6.4.1’e göre bir şifre kullanımı veya eşdeğer güçte bir güvenlik uygulaması. Abonelerin izni olmadan Abonelerin iş istasyonlarının ve ilgili kapalı anahtar kullanımını önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için ticari açıdan makul önlemleri alması. Kapalı anahtar etkinliği kaldırıldığında sadece şifrelenmiş formda saklanır. 6.1.16.1.3 İdareci Sertifikaları Haricindeki Sınıf 3 Sertifikalar Sınıf 3 kapalı anahtar koruması için VTN Standardı (İdareciler hariç) Abonelerin aşağıdaki faaliyetleri içindir: • • Kapalı anahtar etkinleştirmeden önce Abonenin kimlik kontrolü için bir akıllı kart, başka bir şifreleme donanım cihazı, biyometrik erişim cihazı, şifre (e-Güven Roaming Servisiyle bağlantılı) veya eşdeğer güçte bir güvenlik uygulaması. Abonelerin izni olmadan Abonelerin iş istasyonlarının, sunucularının ve ilgili kapalı anahtarının kullanımını önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için ticari açıdan makul önlemleri alması. SUH § 6.4.1’e göre bir akıllı kart, başka bir şifreleme donanım cihazı veya biyometrik erişim cihazıyla birlikte bir şifre kullanılması tavsiye edilir. Kapalı anahtarın etkinliği kaldırıldığında sadece şifrelenmiş formda saklanır. - 68 - 6.1.16.2 İdarecilerin Kapalı anahtarları 6.1.16.2.1 İdareciler İdarecilerin kapalı anahtar koruması için VTN Standardı İdarecilerin aşağıdaki işlemleri gerçekleştirilmesini gerekli kılar: • • Örneğin kapalı anahtarın kullanımı için bir şifre, bir Windows oturum açma veya ekran koruyucu şifre ya da bir ağ oturumu açma şifresi içeren kapalı anahtarı etkinleştirmeden önce Abonenin kimlik kontrolü için SUH § 6.4.1’e göre bir akıllı kart, biyometrik erişim cihazı veya şifre kullanımı ya da eşdeğer güçte bir güvenlik uygulaması. İdarecilerin izni olmadan İdarecilerin iş istasyonlarının ve ilgili kapalı anahtarı kullanımını önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için ticari açıdan makul önlemleri alması. Kapalı anahtarı etkinleştirmeden önce İdarecinin kimlik kontrolü için SUH § 6.4.1’e göre bir akıllı kart, biyometrik erişim cihazıyla birlikte bir şifre kullanılması tavsiye edilir. Kapalı anahtarın etkinliği kaldırıldığında sadece şifrelenmiş formda saklanır. 6.1.16.2.2 Bir Şifreleme Modülü (Otomatik Yönetimli veya Managed PKI Key Manager Servisli) kullanan Managed PKI İdarecileri Bir şifreleme modülü kullanan İdareciler için kapalı anahtar koruması VTN Standardı, İdarecilerin aşağıdaki işlemleri gerçekleştirilmesini gerekli kılar: : • Kapalı anahtarı etkinleştirmeden önce İdarecinin kimlik kontrolü için SUH § 6.4.1’e göre bir şifreyle birlikte şifreleme modülünün kullanılması. • İdarecilerin izni olmadan iş istasyonlarının ve şifreleme modülüyle ilgili kapalı anahtarın kullanımını önlemek amacıyla şifreleme modülü kullanıcısını içeren iş istasyonlarının fiziksel olarak korunması için ticari açıdan makul önlemleri alması. 6.1.16.3 e-Güven’in Kapalı anahtarları e-Güven SO kapalı anahtarları, aktivasyon verilerini (elemanlar veya parolalar) SUH § 6.2.2’ye göre veren eşik sayıda Kapalı Anahtar Grubu Sahibince etkinleştirilir. e-Güven’in çevrim dışı SO’ları için, SO kapalı anahtar bir oturum için etkinleştirilir (örneğin, bir Alt SO’nun sertifikalandırılması veya bir PCA’nın bir CRL’yi imzalaması için) ve ardından etkinliği kaldırılır ve modül, güvenli saklamaya döndürülür. e-Güven’in çevrim içi SO’ları için, SO kapalı anahtarı sınırsız bir süreyle etkinleştirilir ve SO çevrim dışına alınana kadar (örneğin, sistem bakımı için) modül, üretim veri merkezinde çevrim içi kalır. e-Güven Kapalı Anahtar Grubu Sahiplerinin Kapalı Anahtar Gruplarını korumaları ve Kapalı Anahtar Grubu Sahibi sorumluluklarını kabul ettiklerini gösteren bir anlaşma imzalamaları gerekir. - 69 - 6.1.17 Kapalı Anahtarın Etkinliğini Kaldırma Yöntemi e-Güven SO kapalı anahtarı eleman okuyucudan çıkarıldıklarında etkinlikleri kaldırılır. Sistem oturumu kapandığında e-Güven KO kapalı anahtarı (KO başvurusunda kimlik kontrolü için kullanılır) etkinliği kaldırılır. e-Güven KO’larının, çalışma alanlarından ayrılırken iş istasyonlarını oturumdan çıkarmaları gerekir. İstemci İdarecileri, KO ve son kullanıcı Abone kapalı anahtarları her bir operasyondan sonra, sistemleri oturumdan çıktığında veya bir akıllı kart akıllı kart okuyucudan çıkarıldığında, kullanıcının kullandığı kimlik kontrol mekanizmasına bağlı olarak etkinliği kaldırılabilir. Her durumda, son kullanıcı Aboneler, kendi kapalı anahtarlarını SUH §§ 2.1.3, 6.4.1’e göre uygun şekilde koruma sorumluluğu taşır. 6.1.18 Kapalı Anahtar İmha Yöntemi Bir e-Güven SO’sunun geçerlilik süresi sonunda SO kapalı anahtarının bir veya daha fazla kopyası SUH § 6.2.5’e göre arşivlenir. SO kapalı anahtarının diğer kopyaları güvenli biçimde imha edilir. Ayrıca, arşivlenen SO kapalı anahtarı arşiv süreleri sonunda güvenli biçimde imha edilir. SO anahtarı imha faaliyetleri birden fazla güvenilen şahsın katılımını gerektirir. Gereken durumlarda, e-Güven, SO kapalı anahtarını, anahtarın tekrar oluşturulmasına yol açabilecek anahtar izlerinin bulunmamasını sağlayacak şekilde imha eder. e-Güven, SO kapalı anahtarının tam imhasını sağlamak için donanım şifreleme modüllerinin sıfırlama işlevinden ve diğer uygun araçlardan yararlanır. Yerine getirilen SO anahtar imha faaliyetleri kayıtlara geçirilir. 6.2 Anahtar Çifti Yönetiminin Diğer Yönleri 6.2.1 Açık Anahtarın Arşivlenmesi e-Güven SO, KO ve son kullanıcı Abone Sertifikaları, e-Güven’in rutin yedekleme prosedürlerinin bir parçası olarak yedeklenir ve arşivlenir. 6.2.2 Açık ve Kapalı Anahtarların Kullanım Süreleri Bir Sertifikanın Geçerlilik Süresi, Sertifikanın süresi dolduğunda veya iptal edildiğinde sona erer. Anahtar çiftlerinin geçerlilik süresi, ilgili Sertifikaların Geçerlilik Süreleriyle aynıdır, ancak kapalı anahtarlar şifre çözmek için, açık anahtarlar da da imza doğrulamak için kullanılmaya devam edilebilir. Bu SUH’un yürürlük tarihinde veya daha sonra düzenlenen e-Güven Sertifikaları için maksimum Geçerlilik Süreleri aşağıdaki Tablo 18’de verilmiştir. Ayrıca, e-Güven SO’ları, SO’nun Sertifikasının süresi dolmandan önce uygun bir tarihte (bir Alt SO’nun düzenlediği hiçbir Sertifikanın süresi, herhangi bir Üst SO Sertifikasının süresi sona erdikten sonra dolmayacak şekilde) yeni Sertifikalar düzenlemeyi durdurur. - 70 - Sertifikayı Düzenleyen: PCA kendinden imzalı (1024 bit) PCA kendinden imzalı (2048 bit) Kendinden İmzalı, Sertifika Düzenleyen Kök SO’lar SO için PCA Alt SO için SO Son kullanıcı Abone için SO Sınıf 1 30 yıla kadar Sınıf 2 30 yıla kadar Sınıf 3 30 yıla kadar 50 yıla kadar 50 yıla kadar 50 yıla kadar İlgili değildir İlgili değildir 10 yıla kadar 10 yıla kadar 5 yıla kadar 2 yıla kadar 10 yıla kadar 5 yıla kadar Normalde 2 yıla kadar, fakat aşağıda tarif edilen koşullarda 5 yıla kadar 10 yıla kadar 5 yıla kadar Normalde 2 yıla kadar, fakat aşağıda tarif edilen koşullarda 5 yıla kadar Tablo 18 – Sertifika Geçerlilik Süreleri Bu bölümde belirtilmedikçe, e-Güven Altalanı katılımcıları, kullanım süreleri dolduktan sonra anahtar çiftlerinin tüm kullanımını durduracaktır. SO’ların son kullanıcı Aboneler için düzenlediği Sertifikaların Geçerlilik Süreleri, aşağıdaki şartlar karşılandığı takdirde iki yıldan uzun olabilir. Bu süreler maksimum beş yıldır. • • • • • Sertifikalar bireysel Sertifikalardır. Abonenin anahtar bir akıllı kart gibi bir donanım elemanı üzerinde bulunmaktadır. Abonelerin her yıl SUH § 3.1.9 altında tekrar kimlik kontrolü prosedürlerine tâbi tutulması gerekir. Aboneler her yıl Sertifikadaki açık anahtara karşılık gelen kapalı anahtara sahip olduklarını kanıtlayacaklardır. Bir Abone SUH § 3.1.9 altında tekrar kimlik kontrolü prosedürlerini başarıyla tamamlayamıyorsa veya yukarıdaki paragrafa göre kapalı anahtara sahip olduklarını ispat edimiyorsa, SO, Abonenin Sertifikasını otomatik olarak iptal eder. e-Güven, VeriSign Trust Network’ün bir parçası olan bazı eski versiyon, kendinden imzalı sertifika düzenleyen kök SO’ları da işletir. SO’ların düzenlediği son kullanıcı Abone Sertifikaları, aşağıdaki Tablo 18’de belirtilen ve SO’lar için son kullanıcı Abone Sertifikalarının şartlarını karşılar. Bu SO’lar için şartlar aşağıdaki Tablo 19’da açıklanmıştır. SO Sertifikasını Düzenleyen: SO Sertifikası Düzenlenen Son Geçerlilik Süresi Kullanıcı Abone Sertifikalarının Sınıfı SO’su 15 yıla kadar VTN Sınıf 3’e eşdeğer RSA Güvenli Sunucu (kendinden imzalı) Ticari Yazılım Yayıncıları SO’su 10 yıla kadar (kendinden imzalı) - 71 - VTN Sınıf 3’e eşdeğer SO Sertifikasını Düzenleyen: SO Sertifikası Düzenlenen Son Geçerlilik Süresi Kullanıcı Abone Sertifikalarının Sınıfı VeriSign Zaman Damgası Basma 10 yıla kadar VTN Sınıf 3’e eşdeğer Kök SO’su (kendinden imzalı) Tablo 19 – Eski Versiyon Sertifika Düzenleme Kök SO’ları için Şartlar 6.3 Aktivasyon Verileri 6.3.1 Aktivasyon Verilerinin Yaratılması ve Kurulması e-Güven SO kapalı anahtarını içeren elemanları korumak için kullanılan aktivasyon verileri (Kapalı Anahtar Grupları) SUH § 6.2.2’nin şartlarına ve Anahtar Yaratma Prosedürü Referans Kılavuzuna göre yaratılır. Kapalı Anahtar Gruplarının yaratılması ve dağıtılması kayıtlara geçirilir. e-Güven KO’larının, kapalı anahtarlarını korumak için güçlü şifreler seçmeleri gerekir. eGüven’in şifre seçme kılavuzu şifrelerin aşağıdaki özelliklerde olmasını ister: • • • • • • • Kullanıcı tarafından yaratılması. En az sekiz karaktere sahip olması. En az bir alfabetik ve bir sayısal karaktere sahip olması. En az bir küçük harf içermesi. Aynı karakterden birden fazla içermemesi. Operatörün profil ismiyle aynı olmaması. Kullanıcı profil isminin uzun bir altdizisini içermemesi. e-Güven, Managed PKI İdarecilerinin, KO’ların ve son kullanıcı Abonelerin aynı şartları karşılayan şifreler seçmesini önemle tavsiye eder. e-Güven, aynı zamanda, kapalı anahtar aktivasyonu için iki faktörlü kimlik kontrol mekanizmalarının (örneğin, eleman ve parola, biyometrik ve eleman ya da biyometrik ve parola) kullanımını da tavsiye eder. 6.3.2 Aktivasyon Verilerinin Korunması e-Güven Kapalı Anahtar Grubu Sahiplerinin Kapalı Anahtar Gruplarını korumaları ve Kapalı Anahtar Grubu Sahibi sorumluluklarını kabul ettiklerini gösteren bir anlaşma imzalamaları gerekir. e-Güven KO’larının, şifre korumasını ve web tarayıcının “yüksek güvenlik” seçeneğini kullanarak İdareci/KO kapalı anahtarlarını şifrelenmiş formda saklamaları gerekir. e-Güven, İstemci İdarecilerinin, KO’ların ve son kullanıcı Abonelerin kapalı anahtarlarını şifrelenmiş formda saklamalarını ve bir donanım elemanı ve/veya güçlü parola kullanarak - 72 - korumalarını önemle tavsiye eder. İki faktörlü kimlik kontrol mekanizmalarının (örneğin, eleman ve parola, biyometrik ve eleman ya da biyometrik ve parola) kullanımını teşvik edilir. 6.3.3 Aktivasyon Verilerinin Diğer Yönleri Bkz. SUH § 6.4.1 ve 6.4.2. 6.4 Bilgisayar Güvenlik Kontrolleri e-Güven, bütün SO ve KO işlevlerini, e-Güven Güvenlik ve Denetim Şartları Kılavuzunun şartlarını karşılayan Güvenilir Sistemler kullanarak yerine getirir. Managed PKI Müşterileri, Kuruluş Güvenlik Kılavuzunun şartlarını karşılayan Güvenilir Sistemler kullanmalıdır. 6.4.1 Özel Bilgisayar Güvenliği Teknik Şartları e-Güven, SO yazılımlarının ve veri dosyalarının bakımını yapan sistemlerin yetkisiz erişime karşı korunmuş Güvenilir Sistemler olmasını sağlar. Ayrıca, e-Güven, üretim sunucularına erişim, bu erişim için geçerli bir faaliyet sebebi olan bireylerle sınırlar. Genel uygulama kullanıcılarının, üretim sunucularında hesapları yoktur. e-Güven’in üretim ağı diğer bileşenlerden lojik olarak ayrılır. Bu ayrım, tanımlanmış başvuru süreçleriyle yapılanlar haricindeki ağ erişimlerini engeller. e-Güven, üretim ağını dahili ve harici izinsiz girişlere karşı korumak ve üretim sistemlerine erişebilecek ağ faaliyetlerinin niteliğini ve kaynağını sınırlamak için güvenlik duvarları kullanır. e-Güven, minimum karakter uzunluğuna, alfanümerik ve özel karakterlerden oluşan bir kombinasyona sahip şifreler kullanımını ister. e-Güven şifrelerin periyodik olarak değiştirilmesini talep eder. e-Güven veri bankasını destekleyen e-Güven veri tabanına doğrudan erişim, bu erişim için geçerli bir faaliyet sebebi bulunan e-Güven operasyonlar grubundaki Güvenilen Şahıslarla sınırlıdır. 6.5 Geçerlilik Süresi İçindeki Teknik Kontroller 6.5.1 Sistem Geliştirme Kontrolleri Uygulamalar e-Güven tarafından, e-Güven sistem geliştirme ve değiştirme yönetimi standartlarına göre geliştirilir ve yerine getirilir. e-Güven, ayrıca, KO ve bazı SO işlevlerinin yerine getirilmesi için Managed PKI Müşterilerine yazılım temin eder. Bu yazılımlar e-Güven sistem geliştirme standartlarına göre geliştirilir. VeriSign’ın geliştirdiği yazılım, ilk yüklendiğinde, VeriSign veya e-Güven kaynaklı sistem üzerindeki yazılımın kurulumdan önce değiştirilmediğini ve kullanım amacına uygun versiyon olduğunu doğrulamak için bir yöntem temin eder. - 73 - 6.5.2 Güvenlik Yönetim Kontrolleri e-Güven, SO sistemlerinin konfigürasyonunu kontrol etmek ve izlemek için mekanizmalar ve/veya politikalar uygulamaktadır. e-Güven, tüm yazılım paketlerinden ve e-Güven yazılım güncellemelerinden oluşan bir kombinasyona sahiptir. Bu kombinasyon, bu yazılımın bütünlüğünü manuel olarak doğrulamak için kullanılır. e-Güven, kurulumda ve daha sonra periyodik olarak SO sistemlerinin bütünlüğünü kontrol eder. 6.5.3 Geçerlilik Süresi İçindeki Güvenlik Derecelendirmeleri Koşul yoktur. 6.6 Ağ Güvenlik Kontrolleri e-Güven bütün SO ve KO işlevlerini, yetkisiz erişimlere ve diğer kötü niyetli faaliyetlere karşı koruma amacıyla Güvenlik ve Denetim Şartları Kılavuzuna göre güvenliği sağlanmış ağlar kullanarak yerine getirir. e-Güven, gizli bilgilerin iletimini şifreleme ve dijital imzalar kullanarak korur. 6.7 Şifreleme Modülü Mühendislik Kontrolleri e-Güven ve VeriSign’ın kullandığı şifreleme modülleri SUH § 6.2.1’de belirtilen şartları karşılar. 7. Sertifika ve SİL (CRL) Profili 7.1 Sertifika Profili SUH § 7.1, bu SUH altında düzenlenen VTN Sertifikaları için e-Güven’in Sertifika Profili ve Sertifika içeriği ile ilgili şartları belirtmektedir. e-Güven Sertifikaları, (a) ITU-T Tavsiyesi X.509 (1997): Bilgi Teknolojisi - Açık Sistemlerin Birbiriyle Bağlantısı - Dizin: Kimlik Kontrolü Çerçevesi, Haziran 1997 ve (b) RFC 2459: Internet X.509 Açık Anahtar Altyapı Sertifikası ve CRL Profili, Ocak 1999 (“RFC 2459”)’ye uygundur. e-Güven X.509, aşağıdaki Tablo 20’deki temel X.509 Versiyon 1 alanlarını ve gösterilen değerleri veya değer sınırlamalarını içerir. Alan Versiyon Seri Numarası İmza Algoritması Düzenleyici DN Geçerlilik Süresi Başlangıcı Geçerlilik Süresi Değer veya Değer Sınırlaması Bkz. SUH §7.1.1. Düzenleyici DN başına tek değer. Sertifikayı imzalamak için kullanılan algoritmanın ismi (Bkz. SUH § 7.1.3). Bkz. SUH § 7.1.4 Üniversal Koordinat Zamanı tabanı. ABD Deniz Gözlemevi Master Saatine ayarlı. RFC 2459’a göre kodlanmış. Üniversal Koordinat Zamanı tabanı. ABD Deniz Gözlemevi Master Saatine - 74 - Alan Sonu Değer veya Değer Sınırlaması ayarlı. RFC 2459’a göre kodlanmış.Geçerlilik süresi SUH § 6.3.2’de belirtilen sınırlamalara göre ayarlanır. Sertifika Konusu Bkz. SUH § 7.1.4 DN Sertifika Konusu SUH § 7.1.3’de belirtilen algoritmalar ve SUH § 6.1.5’de belirtilen kod Genel Kod uzunlukları kullanılarak RFC 2459’a göre kodlanmış. İmza RFC 2459’a göre yaratılmış ve kodlanmış. Tablo 20 – Sertifika Profili Temel Alanları 7.1.1 Versiyon Numarası/Numaraları e-Güven SO ve son kullanıcı Abone Sertifikaları aşağıdaki istisnalarla X.509 Versiyon 3 niteliğine sahip Sertifikalardır: • • • VeriSign PCA’lar ve diğer VeriSign ana SO’ları da dahil VeriSign ana SO sertifikaları, X.509 Versiyon 1 Sertifikalardır. Bazı eski versiyon VeriSign Düzenleyici SO sertifikaları, X.509 Versiyon 1 Sertifikalardır. Bazı Güvenli Sunucu Sertifikaları, belirli web sunucuların X.509 Versiyon 3 Sertifikaların kullanımını desteklemeyen X.509 Versiyon 1 Sertifikalardır. 7.1.2 Sertifika Ekleri X.509 Versiyon 3 Sertifikaların kullanıldığı durumlarda; e-Güven, Sertifikaları, SUH §§ 7.1.2.17.1.2.8’in öngördüğü eklerle birlikte yayınlar. VTN SP ve bu SUH’a göre kullanıldıkları sürece özel eklerin Sertifikalarda kullanılmasına izin verilir. 7.1.2.1 Anahtar Kullanımı X.509 Versiyon 3 Sertifikaların kullanıldığı durumlarda, e-Güven, Anahtar Kullanım ekini, SUH §§ 6.1.9’a göre yayınlar. Bu ekin önem derecesi alanı FALSE’a ayarlanır. 7.1.2.2 Sertifika Politikaları Eki e-Güven X.509 Versiyon 3 son kullanıcı Abone Sertifikalarında, Sertifika Politikaları eki bulunur. Sertifika Politikaları eki, VTN SP için ilgili nesne tanımlayıcıyla birlikte SP § 7.1.6’ya uygun olarak ve SUH § 7.1.8’de belirtilen politika niteleyicilere göre yayınlanır. Bu ekin önem derecesi alanı FALSE’a ayarlanır. 7.1.2.3 Sertifika Konusu Alternatif İsimleri Koşul yoktur. - 75 - 7.1.2.4 Temel Sınırlamalar e-Güven X.509 Versiyon 3 SO Sertifikalarını, “Konu Tipi”ni (subject type) CA’ya ayarlayarak bir Temel Sınırlamalar ekiyle (basic constraints extension) birlikte yayınlar. Son kullanıcı Abone Sertifikaları da Konu Tipi “Son Kullanıcı”ya eşit bir Temel Sınırlamalar ekiyle birlikte yayınlanır. Temel Sınırlamalar ekinin önem derecesi, e-Güven Sınıf 3 Managed PKI Kimlik Kontrol Servisleri Bürosu SO’sunun Sertifikası hariç olmak üzere genelde FALSE’a ayarlıdır. Gelecekteki diğer Sertifikalar için bu ekin önem derecesi TRUE’ya ayarlanabilir. e-Güven X.509 Versiyon 3 SO Sertifikalarda, Temel Sınırlamalar ekinin -“pathLenConstraint”alanı, bu sertifikaya bağlı sertifikasyon zincirinde (certificate path) bu Sertifikanın ardından gelebilecek maksimum sayıda SO sertifikasına izin verecek şekilde ayarlanmıştır. Son Kullanıcı Sertifikası yayınlayan Managed PKI Müşterilerinin çevrim içi SO’larının ve e-Güven SO’larının SO Sertifikalarında -“pathLenConstraint”- alanı “0” değerine ayarlanır; böylece sertifikasyon zincirinde SO Sertifikasından sonra sadece Son Kullanıcı Sertifikaları gelebilir, yani bu SO’lar sadec Son Kullanıcı Sertifikaları yayınlayabilir. 7.1.2.5 Uzatılmış Anahtar Kullanımı (Extended Key Usage) e-Güven, aşağıdaki Tablo 21’de listelenen e-Güven X.509 Versiyon 3 Sertifikaların belirli tipleri için Uzatılmış Anahtar Kullanımı eki kullanır. e-Güven, diğer Sertifika tipleri için Uzatılmış Anahtar Kullanımı eki kullanmaz. Sertifika Tipi Sertifikalandırma Otoritesi (SO) OCSP Cevaplandırma Ünitesi Sınıf 3 Web Sunucu Sertifikaları Sertifika Tipi Sınıf 3 Uluslararası Sunucu SO’su Sınıf 1-3 Genel Ana OCSP Cevaplandırma Üniteleri Güvenli Sunucu OCSP Cevaplandırma Ünitesi Güvenli Sunucu Kimlikleri Global Sunucu Kimlikleri Tablo 21 – Uzatılmış Anahtar Kullanımı Eki Kullanan Sertifikalar Sertifikalar için, e-Güven, Uzatılmış Kod Kullanımı ekini aşağıdaki Tablo 22’ye göre yayınlar. Önem Derecesi 0 ServerAuth 1 ClientAuth 2 CodeSigning 3 EmailProtection 4 ipsecEndSystem 5 ipsecTunnel Sınıf 3 Uluslararası Sunucu CA’sı FALSE OCSP Cevaplandırma Üniteleri FALSE Güvenli Sunucu Kimlikleri FALSE Global Sunucu Kimlikleri FALSE Set Clear Set Set Set Clear Set Set Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear Clear - 76 - Önem Derecesi 6 ipsecUser 7 TimeStamping 8 OCSP Signing Sunucu - Microsoft - Geçitli Kripto (SGC) OID: 1.3.6.1.4.1.311.10.3.3 Netscape SGC - OID: 2.16.840.1.113730.4.1 CA Sertifikaları için VeriSign SGC Tanımlayıcı – OID: 2.16.840.1.113733.1.8.1 Sınıf 3 Uluslararası Sunucu CA’sı FALSE OCSP Cevaplandırma Üniteleri FALSE Güvenli Sunucu Kimlikleri FALSE Global Sunucu Kimlikleri FALSE Clear Clear Clear Clear Clear Clear Clear Clear Clear Set Clear Clear Clear Clear Clear Set Set Clear Clear Set Set Clear Clear Clear Tablo 22 – Uzatılmış Anahtar Kullanımı Eki Ayarları 7.1.2.6 SİL Dağıtım Noktaları e-Güven X.509 Versiyon 3 Güvenli Sunucu ve Sınıf 1 Bireysel son kullanıcı Abone Sertifikaları, bir İtimat Eden Tarafın SO Sertifikalarının durumunu kontrol etmek için bir SİL elde edebileceği yerin URL’sini içeren cRLDistributionPoints ekini kullanır. Bu ekin önem derecesi alanı FALSE’a ayarlanır. Sertifikanın yapısı e-Güven’in ileride SO’su olarak görev yapabilecek başka kurumların SİL Dağıtım Noktalarının kullanımını da desteklemektedir.. 7.1.2.7 Otorite Anahtarı Tanımlayıcı ( Authority Key İdentifier) VeriSign, VeriSign Ticari Yazılım yayıncıları SO’sunun düzenlediği X.509 Versiyon 3 son kullanıcı Abone Sertifikalarının Otorite Anahtarı Tanımlayıcı ekini yayınlar. Otorite Anahtarı Tanımlayıcı, Sertifikayı düzenleyen SO’nun açık anahtarının 160-bit SHA-1 grubundan oluşur. Bu ekin önem derecesi alanı FALSE’a ayarlanır. Otorite Anahtarı Tanımlayıcının kullanımı gelecekteki başka VeriSign SO’ları için desteklenebilir. 7.1.2.8 Sertifika Süjesi Anahtarı Tanımlayıcı (Algorithm Object Identifier) e-Güven’in X.509 Versiyon 3 VTN Sertifikalarını bir Sertifika Süjesi Anahtarı Tanımlayıcı ekiyle birlikte yayınladığı durumlarda, Anahtar Tanımlayıcı, Sertifika Süjesinin anahtarı esas alınarak yaratılır. Bu ekin kullanıldığı durumlarda bu ekin önem derecesi alanı FALSE’a ayarlanır. 7.1.3 Algoritma Nesnesi Tanımlayıcıları e-Güven X.509 Sertifikaları, RFC 2459’a göre sha1RSA (OID: 1.2.840.113549.1.1.5) veya md5RSA (OID: 1.2.840.113549.1.1.4) ile imzalanır. VeriSign, bazı eski versiyon SO ve son kullanıcı Abone Sertifikalarını md2RSA (OID: 1.2.840.113549.1.1.2) ile imzalamıştır. - 77 - 7.1.4 İsim Formları e-Güven, VTN Sertifikalarını, SUH § 3.1.1’e göre bir Sertifika Yayınlayıcı ve Sertifika Konusu Özgün İsmiyle (Issuer and Subject Distinguished Name) birlikte yayınlar. e-Güven, ayrıca, son kullanıcı Sertifikalarına, Sertifikanın kullanım şartlarının, sertifikada belirtilen bir URL yoluyla ulaşılabilecek olan İtimat Eden Taraf Anlaşmasında bulunduğunu belirten bir ilave “alan” yaratır. Bu şartların dışında uygulamalara, ancak, Sertifikalardaki alan, formatlama veya birbiriyle çalışabilirlik sınırlamaları, bir ”alanın”, Sertifikaların amaçlandığı başvurularla bağlantılı olarak kullanılmasını imkansız hale getirdiğinde izin verilir. 7.1.5 İsim Sınırlamaları Koşul yoktur. 7.1.6 Sertifika Politikası Nesnesi Tanımlayıcı Sertifika politikaları eki kullanıldığında, Sertifikalar, SUH § 1.2’de belirtilen uygun Sertifika Sınıfına karşılık gelen Sertifika Politikası için nesne tanımlayıcıyı (OID) içerir. Sertifika Politikası ekini içeren VTN SP’nin yayınlanmasından önce düzenlenen eski Sertifikalar için, Sertifikalar, VeriSign SUH’a atıfta bulunur. 7.1.7 Politika Sınırlamaları Ekinin Kullanımı Koşul yoktur. 7.1.8 Politika Niteleyiciler için Yazımsal ve Anlamsal Özellikler e-Güven, X.509 Versiyon 3 VTN Sertifikalarını, Sertifika Politikaları eki içinde bir politika niteleyiciyle birlikte yayınlar. Bu Sertifikalar, genelde, İtimat Eden Taraf Anlaşmasına veya VeriSign SUH’a işaret eden bir işaret niteleyici içerir. Ayrıca, bazı Sertifikalar, ilgili İtimat Eden Taraf Anlaşmasına işaret eden bir Kullanıcı Uyarısı Niteleyici içerir. 7.1.9 Kritik Sertifika Politika Eki için Anlamsal İşlem Özellikleri Koşul yoktur. 7.2 SİL Profili e-Güven RFC 2459’a uygun SİL’ler düzenler. e-Güven SİL’leri, en azından, aşağıdaki Tablo 23’de belirtilen temel alanlara ve içeriklere sahiptir: Alan Versiyon İmza Algoritması Değer veya Değer Sınırlaması Bkz. SUH §7.2.1. SİL’i imzalamak için kullanılan algoritma. VeriSign SİL’leri, RFC 2459’a göre md5RSA (OID: 1.2.840.113549.1.1.4) veya md2RSA (OID: - 78 - Alan Değer veya Değer Sınırlaması 1.2.840.113549.1.1.2) kullanılarak imzalanır. Düzenleyen SİL’i imzalayan ve düzenleyen kuruluş. SİL Düzenleyici İsmi SUH § 7.1.4’de belirtilen Düzenleyici Özgün İsmi (Issuer Distinguished Name)şartlarına göredir. Yürürlük SİL’in düzenlenme tarihi. e-Güven SİL’leri düzenlendikleri tarihte yürürlüğe Tarihi girer. Sonraki Bir sonraki SİL’in düzenleneceği tarih. e-Güven SİL’leri için Sonraki Güncelleme Güncelleme Tarihi şu şekilde ayarlanır: VeriSign PCA’ları için Yürürlük tarihinden itibaren 3 ay ve diğer e-Güven SO’ları için yürürlük tarihinden itibaren 10 gün. SİL düzenleme sıklığı SUH § 4.4.9’un şartlarına göredir. İptal Edilen İptal edilen sertifikaların listesidir ve iptal edilen Sertifikanın Seri Numarası ile Sertifikalar İptal tarihini içerir. Tablo 23 – CRL Profili Temel Alanları 7.2.1 Versiyon Numarası/Numaraları e-Güven X.509 Versiyon 1 CRL (SİL) ’ler yayınlamaktadır. 7.2.2 SİL ve SİL Girdi Ekleri Koşul yoktur. 8. Spesifikasyon Yönetimi 8.1 Spesifikasyon Değişikliği Prosedürleri Bu SUH’daki düzeltmeler e-Güven’ce yapılacak ve VeriSign Uygulama Geliştirme grubunca onaylanacaktır. Düzeltmeler ya SUH’un düzeltilmiş halini içeren bir doküman formunda, ya da bir güncelleme şeklinde yapılacaktır. Düzeltilmiş versiyonlar veya güncellemeler https://www.eguven.com/repository/updates adresindeki e-Güven Veri Bankasının Uygulama Güncellemeleri ve Uyarıları bölümünde yayınlanacaktır. Güncellemeler, SUH’un atıfta bulunulan versiyonunun belirtilen veya çelişkili hükümlerini geçersiz kılar. 8.1.1 İhbarda Bulunulmadan Değiştirilebilecek Maddeler e-Güven, yazım hataları, URL değişiklikleri ve irtibat bilgisi değişiklikleri de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla maddi olmayan düzeltmeler için önceden ihbarda bulunmadan SUH’da düzeltme yapma hakkını saklı tutar. Düzeltmelerin ne şekilde yayınlanacağının (materyellerle veya başka bir şekilde) belirlenmesinde takdir hakkı sadece eGüven’e aittir. 8.1.2 İhbarda Bulunarak Değiştirilebilecek Maddeler e-Güven, SUH’daki maddi düzeltmeleri SUH § 8.1.2’ye göre yapacaktır. - 79 - 8.1.2.1 Maddelerin Listesi Maddi düzeltmeler, e-Güven’in SUH 8.1.1’e göre maddi olduğunu düşündüğü değişikliklerdir. 8.1.2.2 İhbar Mekanizması e-Güven’in Uygulama Geliştirme grubu, SUH’da önerilen düzeltmeleri https://www.eguven.com/repository/updates adresinde bulunan e-Güven Veri Bankasının Uygulama Güncellemeleri ve İhbarları bölümünde yayınlar. e-Güven, SUH için Alt Alanı katılımcılarından önermelerini ister. e-Güven bu tip bir düzeltmenin gerekli olduğunu düşünürse veya düzeltmenin uygulanmasını isterse, bu bölüme uygun olarak düzeltmeyle ilgili ihbarda bulunacaktır. SUH’dakilerin aksine, e-Güven, VTN’nin, e-Güven Alt Alanının veya VTN’nin herhangi bir kısmının güvenliğinin ihlalini derhal durdurmak veya önlemek için SUH’daki maddi düzeltmelerin gerekli olduğunu düşünmesi halinde bu düzeltmeleri yapmaya ve e-Güven Veri Bankasında yayınlamaya yetkili olacaktır. Bu düzeltmeler yayınlandıkları tarihte derhal yürürlüğe girer. 8.1.2.3 Açıklama Süresi SUH § 8.1.2.2 altında ayrıca belirtilmedikçe, SUH’daki herhangi bir maddi düzeltme için açıklama süresi, düzeltmenin e-Güven Veri Tabanında yayınlandığı tarihten başlamak üzere on beş (15) gün olacaktır. Herhangi bir e-Güven Alt Alanı katılımcısı, açıklama süresinin sonuna kadar e-Güven Uygulama Geliştirme grubuyla birlikte açıklamaları dosyalamaya yetkili olacaktır. 8.1.2.4 Açıklama İşleme Mekanizması e-Güven’in Uygulama Geliştirme grubu, önerilen düzeltmelerle ilgili açıklamaları dikkate alır. eGüven, (a) önerilen düzeltmelerde, düzeltmelerin önerildiği şekilde değişiklik yapılmadan yürürlüğe girmelerine izin verir, (b) önerilen düzeltmelerde değişiklik yapar ve SUH § 8.1.2.2’ye göre yeni düzeltmeler olarak yayınlar veya (c) önerilen düzeltmeleri geri çeker. e-Güven, eGüven Veri Bankasının Uygulama Güncellemeleri ve Uyarıları bölümünde ihbarda bulunarak önerilen düzeltmeleri geri çekmeye yetkilidir. Önerilen düzeltmelerde değişiklik yapılmadıkça veya düzeltmeler geri çekilmedikçe, SUH § 8.1.2.3 altında açıklama süresinin sona ermesine kadar yürürlükte olacaktır. 8.1.3 Sertifika Politikası Değişiklikler OID veya SUH Bkz. SP § 8.1.3. - 80 - İşaretinde Değişiklik Gerektiren 8.2 Yayın ve İhbar Politikaları 8.2.1 SUH’da Yayınlanmayan Maddeler VeriSign ve Küresel Ortakların gizli olduğunu düşündüğü güvenlik dokümanları genel kullanım amacıyla açıklanmaz. “Gizli güvenlik dokümanları”, SUH § 1.1(a) Tablo 1’de genel kullanım amacıyla açıklanamayacak dokümanlar olarak belirtilmiş olan dokümanlardır. 8.2.2 SP’nin Dağıtımı Bu SUH, https://www.e-guven.com/suh adresindeki e-Güven Veri Bankasında elektronik formda yayınlanır. SUH, e-Güven Veri Bankasında Word, Adobe Acrobat pdf ve HTML formatında bulunur. e-Güven, ayrıca, suh-requests@e-guven.com adresine gönderilen talep üzerine SUH’u Adobe Acrobat pdf veya Word formatında da verebilir. SUH, “Elektronik Bilgi Güvenliği A.Ş., Vali Konağı cad. no:147/14 Nişantaşı İstanbul Attn: SUH”ye gönderilen talep üzerine e-Güven Uygulama Geliştirme grubundan basılı formda temin edilebilir. 8.3 SUH Onay Prosedürleri İlgili değildir. Kısaltmalar ve Tanımlar Kısaltmalar Tablosu Kısaltma Terim ANSI Amerikan Ulusal Standartlar Enstitüsü Kimlik Kontrol Servisi Bürosu ASB Şirketler arası B2B ABD Ticaret Bakanlığı İhracat Yönetimi Bürosu BXA Sertifika Otoritesi SO Sertifika Politikası SP Sertifika Uygulama Hükümleri SUH Sertifika İptal Listesi SİL Değerlendirme güvence seviyesi (Genel Kıstaslara uygun) EAL Elektronik Veri Alışverişi EDI EDIFACT Yönetim, Ticaret ve Ulaşım için Elektronik Veri Alışverişi (standartlar Birleşmiş Milletler Avrupa Ekonomik Komisyonunca oluşturulur) ABD Federal Bilgi İşlem Standartları FIPS Uluslararası Ticaret Odası ICC Anahtar Kurtarma Bloğu KRB Lojik güvenlik açığı değerlendirmesi LSVA Çevrim İçi Sertifika Durumu Protokolü OCSP - 81 - Kısaltma Terim Açık Finansal Piyasalar Ana Sertifikalandırma Otoritesi Kişisel Kimlik Numarası Açık Anahtar Şifreleme Standardı Açık Anahtar Altyapısı Politika Yönetimi Otoritesi Kayıt Otoritesi Açıklama talebi Denetleme Standartları Açıklaması (Amerikan Yetkili Kamu Muhasebecileri Enstitüsünce yayınlanır) S/MIME Güvenli çok maksatlı Internet posta ekleri Güvenli Soketler Seviyesi SSL VeriSign Trust Network VTN OFX PCA PIN PKCS PKI PMA KO RFC SAS Tanımlar Terim Tanım İdari Sertifika Otoritesi (İdari SO) e-Güven KO’ları, Managed PKI Müşterisi personeli (Managed PKI İdarecileri), Bağlı İdareciler ve Otomatik Yönetim sunucuları için Sertifikalar düzenleyen bir çeşit e-Güven SO. Bir İşlem Merkezi, Servis Merkezi, Managed PKI Müşterisi kurumu içinde geçerlilik durumunu kontrol eden ve diğer SO veya KO görevlerini yerine getiren bir Güvenilen Şahıs. Bir İdareci için düzenlenen ve sadece SO veya KO görevlerini yerine getirmek için kullanılabilecek bir Sertifika. Örneğin, teknoloji, telekomünikasyon veya finansal hizmetler sektöründe, belirli bir bölgede bir VTN dağıtım ve servis kanalı olarak görev yapmak için VeriSign ile anlaşma imzalamış, önde gelen güvenilen üçüncü şahıslardan biri. Belirli bir kuruluşla bağlantısı olan bir gerçek şahıs: (i) kuruluş içinde memur, yönetici, çalışan, ortak, yüklenici, stajyer veya başka bir şahıs, (ii) VeriSign tescilli bir menfaat grubunun üyesi veya (iii) kimliği konusunda uygun güvenceleri veren faaliyet kayıtlarına veya başka kayıtlara sahip kuruluşla bağlantısını muhafaza eden bir şahıs. Kimlik Kontrol Servisi Bürosunun hizmetlerinden yararlanmak için VeriSign veya bir bağlısıyla sözleşme yapan bir kuruluş. Bir ASB Müşterisi bir SO'dır ve kendi SO'sunun düzenlediği Sertifikalarda bu şekilde isimlendirilir, fakat bütün SO görevlerini bir ASB Sağlayıcıdan temin eder. ASB Müşterilerine Kimlik Kontrol Servisi Bürosu hizmetleri sunan bir kuruluş (VeriSign veya bir Bağlısı). Bir ASB Sağlayıcı, bir ASB Müşterisi için arka uç işlevlerini dış kaynaktan temin eder ve bir KO İdareci İdareci Sertifikası Küresel Ortak Ticari İlişkide Bulunulan Kişi) ASB Müşterisi ASB Sağlayıcı - 82 - Terim Kimlik Kontrol Servisi Bürosu Otomatik Yönetim Otomatik Yönetim Yazılım Modülü Sertifika Sertifika Başvuru Sahibi Sertifika Başvurusu Sertifika Zinciri Sertifika Yönetimi Kontrol Hedefleri Sertifika Politikaları (SP) Sertifika İptal Listesi (SİL) Sertifika İmzalama Talebi Sertifikalandırma Otoritesi (SO) Sertifikalandırma Uygulamaları Açıklaması (SUH) Parola Sınıf Sınıf 2 Bireysel ASB Sertifikası Tanım olarak görev yapar. VTN içinde, VeriSign veya bir Bağlısının çoğu ön uç KO işlevlerini ve bütün arka uç SO işlevlerini kurum adına yerine getirdiği bir servis. Kayıt bilgisinin veri tabanındaki bilgilerle uyuşması halinde Sertifika Başvurularının otomatik olarak onaylandığı bir prosedür. VeriSign’ca temin edilen ve Otomatik Yönetimi yerine getiren yazılım. En azından bir isim veren veya SO’yı tanımlayan, Aboneyi tanımlayan, Abonenin açık anahtarını içeren, Sertifikanın Geçerlilik Süresini tanımlayan, bir Sertifika seri numarası içeren ve SO'nun dijital olarak imzaladığı bir mesaj. SO’dan sertifika düzenleme talebinde bulunan bir şahıs veya kurum. Bir Sertifika Başvuru Sahibinin (veya onun yetkili acentasının) SO’ya sunduğu bir Sertifika düzenleme talebi. Bir son kullanıcı Abone Sertifikası ve SO Sertifikaları içeren ve ana Sertifikalardan biriyle sona eren bir sıralı Sertifikalar listesi. Bir Uygunluk Denetiminden geçmek için bir kuruluşun karşılaması gereken kıstaslar. VTN’yi düzenleyen politikanın ana ilkesini oluşturan “VeriSign Trust Network Sertifika Politikaları” başlıklı doküman. Periyodik (veya acil olarak) yayınlanan, SO'nun dijital olarak imzaladığı ve geçerlilik süresi sona ermeden iptal edilen tanımlanmış Sertifikaları gösteren bir liste. Bu liste genelde SİL’i düzenleyenin ismini, düzenleme tarihini, bir sonraki planlı SİL yayınlama tarihini, iptal edilen Sertifikaların seri numaralarını ve iptal için öngörülen zaman ve sebepleri içerir. Düzenlenmiş bir Sertifikaya sahip olma talebini taşıyan bir mesaj. VTN’de Sertifikalar yayınlama, yönetme, iptal etme ve yenileme yetkisine sahip bir kuruluş. VeriSign’ın veya bir Küresel Ortağının Sertifika Başvurularını onaylamada veya reddetmede, Sertifikalar yayınlamada, yönetmede ve iptal etmede kullandığı ve Managed PKI Müşterilerinin kullanmasını istediği, uygulamalara dair bir açıklama. Bir Sertifika için kayıt yaptırma sırasında bir Sertifika Başvuru Sahibinin seçtiği bir gizli sözcük. Bir Sertifika düzenlendiğinde, Sertifika Başvuru Sahibi bir Abone olur ve Abone Sertifikasını iptal etmek veya yenilemek istediğinde bir SO veya KO parolayı kullanarak Abonenin kimlik kontrolünü yapabilir. SP’de tanımlanan, öngörülen güvence seviyelerinden biri. Bkz. SP § 1.1.1. Farklılıklar SUH § 1.1.1’de özetlenir. Bir ASB Sağlayıcının ASB Müşterisi SO adına düzenlediği bir Sınıf 2 bireysel Sertifikası. - 83 - Terim Tanım Bir ASB Sağlayıcının ASB Müşterisi SO adına düzenlediği bir Sınıf Sınıf 3 kurumsal ASB 3 kurumsal Sertifikası. Sertifikası Bkz. Managed PKI Müşterisi. İstemci Tesis İçi Servis Müşterisi İstemci Tesis İçi Lite Servis Bkz. Managed PKI Lite Müşterisi. Müşterisi Tüketici veya Kurumsal faaliyet alanında istemci Sertifikaları veren İstemci Servis Merkezi bir Küresel Ortak olan bir Servis Merkezi. Bir İşlem Merkezinin, Servis Merkezinin veya Managed PKI Uygunluk Denetimi Müşterisinin, kendisi için geçerli VTN Standartlarına uygunluğunu belirlemek için uygulanan bir periyodik denetim. Gizli bilgilerin yetkisiz olarak ifşa edilebileceği veya kontrolünün Tehdit kaybedilebileceği bir güvenlik politikası ihlali (veya ihlal şüphesi). Özel kodlarla ilgili olarak, bir Tehdit, bir kayıp, hırsızlık, ifşa, değişiklik, yetkisiz kullanım veya bu özel kodun güvenliğini tehdit eden başka bir unsurdur. Paragraf SUH § 2.8.1’de belirtildiği gibi, gizli ve özel tutulması Gizli/Özel Bilgi gereken bilgiler. Tüketici (Tüketici Servis Sertifika Başvuru Sahiplerine istemci Perakende Servis Sertifikası vermek için bir Küresel Oratğın girdiği bir faaliyet alanı. Merkezindeki gibi) SİL Kullanım Anlaşması Bir SİL’in veya içindeki bilgilerin kullanılabileceği koşulları belirten bir anlaşma. Bir Managed PKI Müşterisi veya bir ASB Müşterisi olan bir kurum. Müşteri e-Güven’in sunduğu VeriSign Dijital Onay Servisiyle bağlantılı Dijital Alındı Belgesi olarak yaratılan, Zaman Mührü Basma Otoritesinin dijital olarak imzaladığı ve bir doküman veya veri seti ile o dokümanın veya veri setinin belirli bir zamanda var olduğunu gösteren bir zaman mührü içeren bir veri nesnesi. Elektronik Veri Alışverişi Satınalma siparişleri, faturalar ve ilgili standartlara göre ödeme talimatları gibi faaliyet işlemlerinin bilgisayardan bilgisayara (EDI) iletimi. Elektronik Veri Alışverişi Elektronik Veri Alışverişi mesajlarında dijital imzalara ve EDI Sertifikası (EDI Sertifikası) mesajlarının şifrelenmesine izin veren bir Sınıf 3 kurumsal Sertifikası. Bir Bağlı Şahsın Managed PKI Müşterilerine Managed PKI Kurumsal (Kurumsal Servis Merkezindeki gibi) hizmetleri sunmak için girdiği bir faaliyet alanı. e-Güven’in sunduğu VeriSign Roaming Servisiyle bağlantılı olarak Kurumsal Roaming kullanılan bir Managed PKI Müşterisinin tesisinde bulunan ve Sunucusu Roaming Abonelerinin şifreli kapalı anahtarlarını ve bu anahtarları şifrelemede ve şifrelerini çözmede kullanılan simetrik kod gruplarını muhafaza eden bir sunucu. Managed PKI Müşterileri için güvenlik gereksinimlerini ve Kurumsal Güvenlik uygulamalarını belirten bir doküman. Kılavuzu - 84 - Terim Tanım Acil Denetim/Soruşturma VeriSign’ın, bir kuruluşun VTN Standartlarına uymadığına, kuruluşla ilgili bir olay veya Tehdit ortaya çıktığına ya da kuruluşta VTN’nin güvenliğiyle ilgili gerçek veya muhtemel bir tehdit söz konusu olduğuna inanması için geçerli sebeplerin bulunduğu ve VeriSign'ın yaptığı bir denetim veya soruşturma. Geçerli ihracat kanunlarına uygun güçlü bir şifre koruması Global Sunucu Kimliği kullanarak şifrelenmiş web tarayıcıları ve web sunucuları arasındaki SSL oturumlarını desteklemede kullanılan bir Sınıf 3 kurumsal sertifikası. Bkz. SSL Premium Edition için Managed PKI. Global Sunucu Tesis İçi Servis Bkz. SSL Premium Edition için Managed PKI Müşterisi. Global Sunucu Tesis İçi Servis Müşterisi Managed PKI servisleri üzerine kurulu olan ve e-ticaret Go Secure! uygulamalarını hızlandırmak için tasarlanmış bir tak-çalıştır servis paketi. Altyapı Sertifikalandırma Belirli e-Güven hizmetlerini destekleyen e-Güven altyapısının elemanları için Sertifikalar düzenleyen bir çeşit e-Güven SO’su. Otoritesi (Altyapı CA) Altyapı SO’ları, SO, KO veya son kullanıcı Abone Sertifikaları düzenlemez. Aşağıdakilerden biri veya birkaçı altında sahip olunan haklar: Fikri Mülkiyet Hakları herhangi bir telif hakkı, patent, ticari sır, ticari marka ve diğer fikri mülkiyet hakları. Verdiği Sertifika, bir Sertifika Zincirinde ana SO’nın Sertifikası ile Ara Sertifikalandırma son kullanıcının Abone Sertifikasını düzenleyen Sertifikalandırma Otoritesi (Ara SO) Otoritesinin Sertifikası arasında bulunan bir Sertifikalandırma Otoritesi. Anahtar Yaratma Prosedürü şartlarını ve uygulamalarını tarif eden Anahtar Yaratma bir doküman. Prosedürü Referans Kılavuzu Bir SO’nun veya Ko’nun anahtar çiftinin yaratıldığı, kapalı Anahtar Yaratma anahtarının bir şifreleme modülüne aktarıldığı, kapalı anahtarının Prosedürü yedeklendiği ve/veya açık anahtarının onaylandığı bir prosedür. Bir Managed PKI Müşterisi için Managed PKI Key Manager’ı Key Manager İdarecisi kullanarak anahtar yaratma ve kurtarma işlevlerini yerine getiren bir idareci. Anahtar Kurtarma Bloğu Bir şifreleme anahtar kullanılarak şifrelenmiş bir Abone kapalı anahtar içeren bir veri yapısı. KRB’ler Managed PKI Key Manager (KRB) yazılımı kullanılarak yaratılır. Anahtar Kurtarma Servisi Bir Abonenin özel kodunu kurtarmak için bir Managed PKI Müşterisinin Managed PKI Key Manager’ın kullanımının bir parçası olarak, e-Güven’in sunduğu ve bir Anahtar Kurtarma Bloğunu kurtarmak için gereken şifreleme kodlarını içeren bir - 85 - Terim Tanım VeriSign servisi. e-Güven’in sunduğu ve e-Güven’in kurumsal Müşterilerinin Managed PKI çalışanlar, ortaklar, tedarikçiler ve müşteriler gibi şahıslar ve yanı sıra sunucular, yönelticiler ve güvenlik duvarları gibi cihazlar için Sertifikalar dağıtmasına izin veren, VeriSign’ın tam entegre Managed PKI servisi. Managed PKI, kuruluşların mesaj alışverişine, şirket içi ağa, şirket dışı ağa, sanal özel ağa ve e-ticaret uygulamalarına güvenlik işlevi eklemesine izin verir. Bir Managed PKI Müşterisi için geçerlilik kontrolü veya başka KO Managed PKI İdarecisi işlevlerini yerine getiren bir İdareci. Managed PKI Müşterileri için operasyon gereksinimlerini ve Managed PKI İdareci uygulamalarını belirten bir e-Güven dokümanı. Elkitabı Managed PKI Anlaşması Bir kuruluşu bir Managed PKI Müşterisi yapan, kuruluşun bu SUH’nin bağlayıcılığını kabul ettiğini gösteren bir anlaşma. Managed PKI Sertifikası Sertifika Başvurusunun bir Managed PKI Müşterisince onaylandığı bir Sertifika. Managed PKI İdarecilerinin, Sertifika Başvurularında Manuel Managed PKI Kontrol Kimlik Kontrolü yapmasına izin veren web esaslı bir arabirim. Merkezi e-Güven’den Managed PKI hizmetleri almış ve böylece VTN içinde Managed PKI Müşterisi istemci Sertifikaları düzenleyebilen bir SO olmuş bir kurum. Managed PKI Müşterileri düzenleme, yönetim ve iptal arka uç işlevlerini e-Güven’den temin eder, fakat Sertifika Başvurularını onaylama veya reddetme ve Sertifika iptallerini veya yenilemelerini başlatma KO işlevlerini muhafaza ederler. Özel bir Managed PKI Anlaşması altında anahtar kurtarma Managed PKI Key uygulamasını seçen Managed PKI Müşterileri için bir anahtar Manager kurtarma çözümü. Managed PKI Kod Yönetim Managed PKI Key Manager’ı kullanan Managed PKI Müşterileri için operasyon gereksinimlerini ve uygulamalarını belirten bir Servisi İdareci Kılavuzu doküman. Bir kurumun, belirli alanlar dahilinde Güvenli Sunucu Kimlikleri SSL için Managed PKI vermede bir VeriSign veya bir Küresel Ortağına yardımcı olarak VTN içinde bir KO olmasına izin veren bir çeşit Managed PKI servisi. Bu SO, Sertifika Başvurularını onaylama veya reddetme ve Güvenli Sunucu Kimliği iptallerini veya yenilemelerini başlatma KO işlevlerini Managed PKI Müşterilerine delege eder. VeriSign veya bir Küresel Ortağından Managed PKI servisleri almış SSL için Managed PKI bir kurum. Müşterisi SSL Premium Edition için Bir kurumun, belirli alanlar dahilinde Global Sunucu Kimlikleri vermede bir VeriSign veya Küresel Ortağa yardımcı olarak VTN Managed PKI içinde bir Ko olmasına izin veren bir çeşit Managed PKI servisi. Bu SO, Sertifika Başvurularını onaylama veya reddetme ve Global Sunucu Kimliği iptallerini veya yenilemelerini başlatma KO - 86 - Terim Tanım işlevlerini Managed PKI Müşterilerine delege eder. SSL Premium Edition için VeriSign veya bir Bağlısından SSL Premium için Managed PKI servisleri almış bir kurum. Managed PKI Müşterisi VeriSign veya bir Bağlısından Managed PKI Lite servisleri almış ve Managed PKI Lite böylece istemci Sertifikaları düzenlemede bir VeriSign veya bir Müşterisi Küresel Ortağa yardımcı olarak VTN'de bir Kayıt Otoritesi olmuş bir kurum. Bu SO, Sertifika Başvurularını onaylama veya reddetme ve Sertifika iptallerini veya yenilemelerini başlatma KO işlevlerini Managed PKI Lite Müşterilerine delege eder. Manuel Kimlik Kontrolü Bir İdarecinin Sertifika Başvurularını web esaslı bir arabirim kullanarak manuel olarak birer birer incelediği ve onayladığı bir prosedür. Bir Sertifika Başvuru Sahibince bir SO veya KO'ya sunulmuş, SO Doğrulanmamış Abone veya KO'uın doğruladığı bir Sertifikaya dahil edilmiş ve ilgili SO ve Bilgisi KO'nun, bilgilerin Sertifika Başvuru Sahibince sunulmuş olması haricinde güvence vermediği bilgiler. Bir haberleşme tarafının çıkış noktasını, sunulduğunu veya teslim Red koruması edildiğini yanlışlıkla reddetmesine karşı koruma sağlayan bir haberleşme özelliği. Çıkış noktası reddi, gönderenin kimliği bilinmese dahi haberleşmenin bir veya daha fazla mesajdan oluşan önceki bir mesaj dizisiyle aynı kaynaktan çıkışının reddini içerir. Not: Bir red sonuçta ancak bir mahkeme, tahkim kurulu veya başka bir yetkili makamın kararıyla önlenebilir. Örneğin, bir VTN Sertifikasına dayanılarak doğrulanan bir dijital imza red korumasının bir mahkemece tayinini destekleyen bir kanıt oluşturabilir, fakat kendisi bir red koruması olamaz. İşlem Taraflarına gerçek zamanlı Sertifika durum bilgisi veren bir Çevrim İçi Sertifika Durumu Protokolü (OCSP) protokol. Bkz. Managed PKI. Tesis İçi Servis Tesis İçi Servis İdarecisi Bkz. Managed PKI İdarecisi. Bkz. Managed PKI İdareci Elkitabı. Tesis İçi Servis İdareci Elkitabı Tesis İçi Servis Anlaşması Bkz. Managed PKI Anlaşması. . Tesis İçi Servis Sertifikası Bkz. Managed PKI Sertifikası. Bkz. Managed PKI Kontrol Merkezi. Tesis İçi Servis Kontrol Merkezi Bkz. Managed PKI Key Manager. Tesis İçi Servis Kod Yöneticisi Bkz. Managed PKI Yönetim Servisi İdareci Kılavuzu. İstemci Tesis Tesis İçi Kod Yönetim İçi Servis Müşterileri için Tesis İçi Servis Kod Yöneticisini Servisi İdareci Kılavuzu kullanarak operasyon gereksinimlerini ve uygulamalarını açıklayan bir doküman. Bkz. Managed PKI Lite. Bir kurumun, bir e-Güven SO'sunun VTN Tesis İçi Lite Servis - 87 - Terim Tanım içinde son kullanıcı Sertifikaları düzenlemesine yardımcı olacak bir Kayıt Otoritesi olmasına izin veren bir çeşit Tesis İçi servis. Sertifika Geçerlilik Süresi Bir Sertifikanın düzenlendiği tarih ve saatle (veya Sertifikada belirtilmişse daha geç bir tarih ve saatle) başlayan ve Sertifikanın geçerliliğinin sona erdiği veya daha önce iptal edildiği tarih ve saatle biten periyot. RSA Security Inc.'in geliştirdiği ve bir Sertifika İmzalama Talebi PKCS no. 10 için bir yapı tanımlayan Açık Anahtar Şifreleme Standardı no. 10. RSA Security Inc.'in geliştirdiği ve kapalı anahtarların transferi için PKCS no. 12 güvenli bir araç tanımlayan Açık Anahtar Şifreleme Standardı no. 12. Politika Yönetim Otoritesi VeriSign içinde, bu politikayı tüm VTN'ye yaymaktan sorumlu kurum. (PMA) Belirli bir Sertifika Sınıfı için ana SO olarak görev yapan ve Ana Sertifikalandırma mahiyetindeki SO'lara Sertifikalar düzenleyen bir SO. Otoritesi (PCA) Sertifikaların düzenlenmesinde kullanılan şifreleme modüllerini ve İşlem Merkezi başka gerekli elemanları içeren ve güvenli bir tesis binası oluşturan bir kurum (VeriSign veya belirli Küresel Ortakları). Tüketici ve Web Sitesi faaliyet alanlarında, İşlem Merkezleri VTN içinde SO'lar olarak görev yapar ve Sertifika düzenleme, yönetme, iptal ve yenileme gibi Sertifika periyodu boyunca sunulan bütün hizmetleri yerine getirir. Kurumsal faaliyet alanında, İşlem Merkezleri, kendi Managed PKI Müşterileri ya da mahiyetlerindeki Servis Merkezlerinin Managed PKI Müşterileri adına sertifika periyodu hizmetlerini sunar. Sertifika esaslı bir açık anahtar şifreleme sisteminin kurulmasını ve Açık Anahtar Altyapısı işletimini bir bütün olarak destekleyen mimari, kurum, teknikler, (PKI) uygulamalar ve prosedürler. VTN PKI, VTN'nin temini ve kurulmasında ortak çalışan sistemlerden oluşur. Sertifika Başvuru Sahiplerinin Sertifika başvurularına yardımcı Kayıt Otoritesi (KO) olmak ve Sertifika Başvurularını onaylamak veya reddetmek, Sertifikaları iptal etmek veya yenilemek için bir SO'nun yetki verdiği bir kuruluş. Bir Sertifikaya ve/veya bir dijital imzaya dayanarak hareket eden bir İtimat Eden Taraf şahıs veya kurum. Bir SO'nun kullandığı ve bir şahsın veya kurumun İtimat Eden Taraf İtimat Eden Taraf olarak hareket etmesi için gerekli hüküm ve şartları belirten bir Anlaşması Anlaşma. SO olarak görev yapan e-Güven’in, web sitesi üzerinden e-Güven'e Perakende Servis şahsi olarak başvuran şahıslar ve kurumlar için düzenlediği bir Sertifikası Sertifika. VeriSign Roaming Servisini kullanan ve kapalı anahtarının Roaming Abonesi şifrelenmesinde ve şifresinin çözülmesinde, VeriSign Roaming - 88 - Terim Tanım RSA Sunucusu ile bir Kurumsal Roaming Sunucusu arasında ikiye bölünmüş bir simetrik anahtar kullanan bir Abone. Rivest, Shamir ve Adelman'ın icat ettiği bir açık anahtarlı şifreleme sistemi. Güvenli Sunucu Kimlikleri veren Sertifika Otoritesi. RSA Güvenli Sunucu Sertifika Otoritesi (RSA Güvenli Sunucu SO) RSA Güvenli Sunucu Hiyerarşisi Kapalı Anahtar Grubu RSA Güvenli Sunucu Sertifikala Otoritesinden oluşan PKI hiyerarşisi. Kapalı Anahtar Grubu Paylaşımı düzenlemesi altında bir SO kapalı anahtarını kullanmak için gereken bir SO kapalı anahtarının ya da aktivasyon verilerinin bir bölümü. SUH § 6.2.2 altındaki SO kapalı anahtar işlemleri üzerinde birden Kapalı Anahtar Grubu fazla kişinin kontrolünü sağlamak amacıyla, bir SO kapalı Paylaşımı anahtarını kullanmak için gereken, bir SO kapalı anahtarının ya da aktivasyon verilerinin bölünmesi uygulaması. Web tarayıcıları ile web sunucuları arasındaki SSL oturumlarını Güvenli Sunucu Kimliği desteklemek için kullanılan bir Sınıf 3 kurumsal Sertifikası. Güvenli Soketler Seviyesi Netscape Communications Corporation'ın web haberleşmelerini korumak için geliştirdiği endüstri standardında yöntem. SSL (SSL) güvenlik protokolü veri şifreleme, sunu kimlik kontrolü, mesaj bütünlüğü ve opsiyonel istemci kimlik kontrolü (bir Transmisyon Kontrol Protokolü/Internet Protokolü bağlantısı için) sağlar. İşlem Merkezleri ve Servis Merkezleri için güvenlik ve denetim Güvenlik ve Denetim şartlarını belirleyen bir VeriSign dokümanı. Şartları Kılavuzu Güvenlik ve Uygulamalar Bir Bağlı Şahsın işlem yapmasına izin vermeden önce VeriSign'ın yaptığı bir inceleme. İncelemesi Sunucu Geçitli Şifreleme Güçlü şifre koruması kullanarak şifrelenmiş bir tarayıcıyla bir SSL oturumu yaratmak için web sunucuların bir Global Sunucu Kimliği düzenlemesine izin veren bir teknoloji. Bkz. SSL için Managed PKI. Sunucu Tesis İçi Servis Bkz. SSL için Managed PKI Müşterisi. Sunucu Tesis İçi Servis Müşterisi Ya web sitesinde, ya da Kurumsal faaliyet alanında Güvenli Sunucu Sunucu Servis Merkezi Kimlikleri ve Global Sunucu Kimlikleri sağlayan Küresel Ortağın Servis Merkezi. Belirli bir Sınıfta veya tipte Sertifikalar düzenlemek amacıyla, Servis Merkezi Sertifika imzalama birimi içermeyen fakat bu Sertifikaların düzenlenmesi, yönetimi, iptali ve yenilenmesi işlemlerini bir İşlem Merkezine dayanarak gerçekleştiren bir Küresel Ortak. VTN'de, VTN hiyerarşisi içindeki bir kuruluşun veya onun Alt Alan mahiyetindeki bütün kuruluşların kontrolünde bulunan kısım. Sertifika Süjesi (Sertifika Bir açık anahtara karşılık gelen bir kapalı anahtarın sahibi. - 89 - Terim Tanım Sahibi) "Sertifika Süjesi" terimi, bir kurumsal Sertifika durumunda bir kapalı anahtara sahip olan ekipman veya cihaza karşılık gelir. Bir Sertifika Süjesine, Kapalı Anahtarın Sahibinin Sertifikasında yer alan açık anahtara bağlı açık bir isim tahsis edilir. Bir bireysel Sertifika durumunda, adına düzenlenen Sertifikanın Konusu olan bir şahıs. Bir kurumsal Sertifika durumunda, adına düzenlenen Sertifikanın Konusu olan bir kurum. Bir Abone, Sertifikada listelenen açık anahtara karşılık gelen kapalı anahtarı kullanabilen kişidir ve kapalı anahtarı kullanmaya münhasıran yetkilidir. Bir SO veya KO'nun kullandığı ve bir bireyin veya kurumun bir Abone olarak hareket etme koşullarını belirten bir anlaşma. Bir VTN hiyerarşisinde belirli bir kuruluşun üzerinde olan bir kuruluş (Sınıf 1, 2 veya 3 hiyerarşisi). Bir kuruluşun Uygunluk Denetiminde hata veya eksiklik bulgularının sonra veya sıradan faaliyetlerde genel risk yönetimi prosesinin bir parçası olarak VeriSign'ın kuruluşu incelemesi. VeriSign veya bir Küresel Ortağı ı adına belirli pazarlara pazarlama hizmetleri sunan bir kuruluş. VeriSign Dijital Onay servisinin bir parçası olarak Dijital Alındı Belgelerini imzalayan VeriSign kuruluşu.. Dijital Alındı Belgeleri üzerindeki dijital imzaları doğrulamak için Zaman Mührü Basma Otoritesine özel bir Sınıf 3 kurumsal Sertifikası düzenleyen VeriSign SO. VTN içinde bir kuruluşun, onun ürünlerinin, hizmetlerinin, tesislerinin ve/veya SUH § 5.2.1'de ayrıca tanımlanan uygulamalarının altyapı güvenilirliğinin yönetiminden sorumlu olan bir personel, yüklenici veya kuruluş danışmanı. Bir VTN içinde bir Güvenilen Şahısça bulunulması gereken konumlar. Yetkisiz girişe ve hatalı kullanıma karşı makul düzeyde güvenli olan, makul düzeyde bir kullanılabilirlik, güvenilirlik ve doğru işletim sağlayan, amaçlanan işlevlerini yerine getirmede makul düzeyde uygun olan ve ilgili güvenlik politikasını uygulayan bilgisayar donanımı, yazılımı ve prosedürler. Bir güvenilir sistemin, sınıflandırılmış resmi terminolojide bilindiği gibi bir "güvenilen sistem" olması gerekmez. Managed PKI Müşterilerine sunulan ve belirli bir dokümanın veya veri setinin belirli bir zaman noktasında varolduğuna dair, dijital olarak imzalanmış bir kanıt (bir Dijital Alındı Belgesi) sağlayan bir servis. e-Güven’in Sertifikalar veri tabanı ve çevrim içi erişilebilir diğer ilgili VeriSign Trust Network bilgisi. Abone Abonelik Anlaşması Üst Kuruluş Ek Risk Yönetimi İncelemesi Tekrar Satıcı Zaman Damgası Basma Otoritesi Zaman Damgası Basma Otoritesi SO Güvenilen Şahıs Güvenilen Konum Güvenilir Sistem e-Güven’in sunduğu VeriSign Dijital Onay Servisi e-Güven Veri Bankası - 90 - Terim Tanım e-Güven’in sunduğu VeriSign Roaming Servisiyle bağlantılı olarak kullanılan e-Güven İşlem Merkezinde bulunan ve Roaming Abonelerinin kapalı anahtarlarını şifrelemede ve şifrelerini çözmede kullanılan simetrik anahtar gruplarını muhafaza eden bir sunucu. e-Güven’in sunduğu ve bir Abonenin kendi kapalı anahtarını e-Güven’in sunduğu VeriSign Roaming Servisi indirmesine ve farklı istemci terminallerinde kapalı anahtar işlemlerini yapmasına izin veren servis. e-Güven’in güvenlik politikalarını tarif eden en yüksek düzeyde e-Güven Güvenlik doküman. Politikası e-Güven Alt Alan VTN'nin e-Güven Alt Alanında aşağıdakilerden biri veya daha fazlası olan bir şahıs veya kurum: e-Güven, bir Müşteri, bir Tekrar Katılımcıları Satıcı, bir Abone veya bir İtimat Eden Taraf. VeriSign Trust Network Sertifika Politikalarınca düzenlenen ve VeriSign Trust Network Sertifikaların dünya çapında kurulumunu ve VeriSign ve (VTN) Bağlılarınca ve bunların Müşterileri, Aboneleri ve İtimat Eden Taraflarca kullanımını sağlayan Sertifika esaslı Açık Anahtar Altyapısı. e-Güven VTN Katılımcısı VTN içinde aşağıdakilerden biri veya daha fazlası olan bir şahıs veya kurum: VeriSign, bir Bağlı Şahıs, bir Müşteri, bir Tekrar Satıcı, bir Abone veya bir İtimat Eden Taraf. Sertifikaların düzenlenmesi, yönetimi, iptali, yenilenmesi ve VTN VTN Standartları içinde kullanımı için ticari, hukuki ve teknik şartlar. Bir Internet servis sağlayıcısı, bir sistem entegratörü, bir Tekrar Web Host Sistemi Satıcı, bir teknik danışman ve uygulama servis sağlayıcısı ya da benzeri bir kuruluş gibi başka bir şahsın web sitesini içeren bir kuruluş. Web Ana Sistem Programı Web Ana Sistemlerinin, müşterileri olan son kullanıcı Aboneler adına Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri kaydetmesine izin veren bir program. Sertifika Başvuru Sahiplerine birer birer Güvenli Sunucu Kimliği ve Web Sitesi (Web Sitesi Servis Merkezindeki gibi) Global Sunucu Kimliği Perakende Sertifikaları sağlamak için bir Bağlı Şahsın girdiği bir faaliyet alanı. e-Güven’in sunduğu VeriSign Roaming Sunucusu - 91 -