Servizio di Certificazione Digitale

Transcript

1 Servizio di Certificazione Digitale Distribuzione: PUBBLICA Codice documento: ISP - GSC Società Servizio Codice Anno Versione

2 STORIA DELLE MODIFICHE Versione Data emissione Descrizione delle modifiche 01 10/06/2015 Prima versione Pagina ii

3 SOMMARIO 1. GENERALITÀ Scopo del documento Riferimenti alle norme di legge Riferimenti agli standard Definizioni e acronimi INTRODUZIONE Dati identificativi del Certificatore Dati identificativi e versione del documento Partecipanti alla PKI Certification Authorities Registration Authorities Utenti Finali (Titolari) Relying Parties Uso dei Certificati Amministrazione del CPS PUBBLICAZIONE E REGISTRO DEI CERTIFICATI Registro dei Certificati Informazioni Pubblicate Frequenza delle Pubblicazioni Modalità di accesso al Registro dei Certificati IDENTIFICAZIONE E AUTENTICAZIONE Naming Tipologie di Nomi Nome della CA Nome del Titolare Modalità di identificazione e registrazione degli utenti Identificazione dei richiedenti Verifiche svolte dal Certificatore in fase di registrazione Meccanismo di pre-autorizzazione per certificati SSL/TLS Identificazione e Autenticazione per le richieste di rinnovo Identificazione e autenticazione per rinnovo ordinario Identificazione e autenticazione per rinnovo a seguito di revoca Identificazione e autenticazione per le richieste di revoca REQUISITI OPERATIVI PER LA GESTIONE DEI CERTIFICATI Richiesta dei certificati Elaborazione delle richieste dei certificati Emissione dei certificati Operazioni effettuate dalla CA Notifica al Titolare Accettazione dei certificati Criteri di accettazione dei certificati Pubblicazione dei certificati da parte della CA Utilizzo della coppia di chiavi e dei certificati Utilizzo da parte del Titolare Utilizzo da parte delle Relying Parties Pagina iii

4 5.6 Rinnovo dei certificati Rigenerazione delle chiavi Modifica dei Certificati Revoca dei Certificati Circostanze per la revoca del certificato Soggetti che possono richiedere la revoca Procedura di revoca per richiesta del Titolare Procedura di revoca per richiesta della CA Grace Period delle richieste di revoca Requisiti per la verifica della validità dei Certificati Frequenza di pubblicazione della CRL Latenza massima per la CRL Disponibilità del servizio di verifica on-line dello stato dei Certificati Requisiti per la verifica on-line dello stato dei Certificati Servizi informativi sullo stato dei Certificati Caratteristiche Operative Disponibilità del servizio Cessazione del contratto Key escrow e key recovery CONTROLLI OPERATIVI, GESTIONALI E DI FACILITY Controlli di Sicurezza Fisica Ubicazione e Costruzione Controlli di Accesso Fisico Gruppi di Continuità e Sistemi di Condizionamento Prevenzione da allagamenti Prevenzione antincendio Dismissione dei rifiuti Backup Off-Site Controlli Procedurali Definizione dei ruoli Numerosità del personale richiesto per attività Identificazione e Autenticazione per ciascun Ruolo Ruoli per cui è richiesta la separazione dei Compiti Controlli sul Personale Qualifiche ed esperienza del personale Verifiche sulla qualità del personale Requisiti per la Formazione del Personale Frequenza di erogazione della Formazione Job Rotation Sanzioni a seguito di azioni non autorizzate Requisiti per Enti Terzi Documentazione fornita al personale Procedure di Logging Tipologia di eventi registrati Frequenza di elaborazione dei log Periodo di conservazione dei log di audit Protezione dei log di audit Procedure di backup dei log di audit Vulnerability Assessment Archiviazione dei dati Tipologie di informazioni archiviate Periodo di conservazione dei dati archiviati Protezione dell archivio Pagina iv

5 Persone che possono accedere all archivio Protezione dell integrità dell archivio Protezione dell archivio dalla cancellazione Protezione dell archivio dal deterioramento Protezione dell archivio dall obsolescenza Procedure di backup dell archivio Procedure per accedere e verificare le informazioni dell Archivio Rinnovo delle chiavi della CA Rinnovo chiavi Enterprise CA Compromissione e Disaster Recovery Procedure di gestione degli incidenti Procedure di recovery in caso di compromissione di Risorse, Software o Dati Procedure di gestione dei casi di compromissione delle chiavi del Certificatore Compromissione dei dispositivi utilizzati per erogare i servizi di certificazione Compromissione della chiave privata del Certificatore Processo di Business Continuity a seguito di disastro Cessazione della CA MISURE TECNICHE DI SICUREZZA Generazione delle Chiavi Enterprise CA Titolari Distribuzione della chiave pubblica Enterprise CA Titolari Lunghezza delle chiavi Enterprise CA Titolari Parametri di generazione e qualità delle chiavi Enterprise CA Titolari Key Usage (estensione X.509 v3) Enterprise CA Titolari Protezione della chiave privata Enterprise CA Titolari Standard di sicurezza dei moduli crittografici Multi-Person Control (N di M) della chiave privata Enterprise CA Titolari Escrow della chiave privata Backup della chiave privata Enterprise CA Titolari Archiviazione della chiave privata Enterprise CA Titolari Trasferimento della chiave privata da/al Modulo Crittografico Enterprise CA Titolari Metodi di attivazione della chiave privata Enterprise CA Pagina v

6 Titolari Metodi di disattivazione della chiave privata Enterprise CA Titolari Metodi di dismissione della chiave privata Enterprise CA Titolari Archiviazione delle chiavi pubbliche Enterprise CA Titolari Periodo di utilizzo delle chiavi Enterprise CA Titolari Generazione e installazione dei dati di attivazione Enterprise CA Titolari Protezione dei dati di attivazione Enterprise CA Titolari Misure di sicurezza dei sistemi Misure di sicurezza di rete Time-Stamping PROFILI DI CERTIFICATI, CRL E OCSP Profili dei certificati Enterprise CA Titolari Certificati SSL Certificati di Client Authentication Profilo della CRL Versione Estensioni delle CRL e delle entry Profilo OCSP VERIFICHE DI CONFORMITÀ Frequenza e circostanze dalle verifiche Identità e qualificazione degli ispettori Relazioni tra i soggetti esaminati e gli ispettori Argomenti coperti dalle verifiche Azioni conseguenti alle non conformità Comunicazione dei risultati CONDIZIONI GENERALI DI SERVIZIO Pagina vi

7 1. GENERALITÀ 1.1 Scopo del documento Questo documento è il relativo al servizio erogato da Intesa Sanpaolo S.p.A. per l emissione e la gestione delle seguenti tipologie di certificati digitali: Web Server (SSL e TLS); Client Authentication. Questo documento è redatto ai fini delle norme vigenti e la sua scrittura è conforme a quanto indicato nell RFC Riferimenti alle norme di legge [DPCM 22/02/13] Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71 del CAD. 1.3 Riferimenti agli standard [LDAP2] W. Yeong, T. Howes, S. Kille, "Lightweight Directory Access Protocol", Internet RFC 1777, March [PKCS7] B. Kaliski, PKCS#7: Cryptographic Message Syntax Version 1.5, Internet RFC 2315, March [PKCS8] S. Turner, Asymmetric Key Packages, Internet RFC 5958, August [PKCS10] B. Kaliski, "PKCS#10: Certification Request Syntax - Version 1.5", Internet RFC 2314, March [SHA256] ISO/IEC :1998, "Information technology - Security techniques - Hash-functions - Part 3: Dedicated hash-functions", May [X500] [X509] ISO/IEC : 2005 Information technology Open Systems Interconnection The Directory: Overview of concepts, models and services. ISO/IEC : 2005 Information technology Open Systems Interconnection The Directory: Public-key and attribute certificate frameworks. [RFC2560] Online Certificate Status Protocal - OCSP - Myers, M., R. Ankney, A. Malpani, S. Galperin and C. Adams, June [RFC3647] Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework - S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, November [RFC5280] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile - Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, May [WebTrust] Internet WebTrust Program for Certification Authorities. [CABForum] Internet CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates Verification. Pag. 7 di 38

8 1.4 Definizioni e acronimi Il seguente elenco riporta il significato di acronimi e abbreviazioni usate in questo documento: Agenzia APDU CRL CSR HTTP HSM LDAP OCSP PKCS PKI RFC SHA SSL Agenzia per l Italia Digitale, già DigitPA Application Protocol Data Units Certificate Revocation List Certificate Signing Request HyperText Transfer Protocol Hardware Security Module Lightweight Directory Access Protocol Online Certificate Status Protocol Public Key Cryptography Standard Public Key Infrastructure Request For Comments Secure Hash Algorithm Secure Sockets Layer Pag. 8 di 38

9 2. INTRODUZIONE Il Certificatore Intesa Sanpaolo S.p.A., nell ambito dei servizi offerti alle Società del Gruppo, include l emissione e la gestione delle seguenti tipologie di certificati digitali: Web Server (SSL e TLS); Client Authentication. Il presente documento ha lo scopo di esplicitare le procedure e le misure messe in atto dal Certificatore per garantire l affidabilità dei certificati rilasciati, con particolare riferimento ai seguenti aspetti: le modalità di identificazione e registrazione dei Titolari; le modalità di generazione e gestione delle chiavi crittografiche e dei Certificati; le modalità operative con le quali il Certificatore opera. I Certificati emessi dalla Certification Authority oggetto del presente CPS sono conformi ai requisiti espressi dal CA/Browser Forum, formalizzati all interno del documento Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates. 2.1 Dati identificativi del Certificatore Il servizio di certificazione è erogato dall organizzazione identificata come segue: Denominazione sociale: Indirizzo della sede legale: Legale rappresentante: N di iscrizione al Registro delle Imprese di Torino: Intesa Sanpaolo S.p.A. Piazza San Carlo, Torino Carlo Messina, Consigliere Delegato e CEO R.E.A. n N di Partita IVA: ISO Object Identifier (OID): Sito web generale (informativo): Sito web del servizio di certificazione: htm 2.2 Dati identificativi e versione del documento Il presente documento, denominato, è individuato dal codice di documento ISP-GSC (riportato anche sul frontespizio) e dall'oid seguente: Questo documento è pubblicato sul sito Web del Certificatore ed è quindi consultabile telematicamente (ai sensi delle norme in vigore). Pag. 9 di 38

10 2.3 Partecipanti alla PKI Il presente CPS si applica ai partecipanti specificati nei seguenti paragrafi, con riferimento agli aspetti relativi al personale, ai dispositivi hardware, ai software operativi e applicativi e agli ambienti fisici presso cui vengono erogati e utilizzati i servizi di certificazione. Le indicazioni riportate nel presente documento: - sono da considerarsi come i requisiti minimi necessari ad assicurare che i titolari e le Relying Parties abbiano il massimo livello di garanzia sull affidabilità dei certificati emessi dal Certificatore e che i processi relativi alla creazione e gestione degli stessi siano eseguiti in conformità ad adeguati standard di sicurezza; - si applicano a tutti gli stakeholder coinvolti nella generazione, emissione, utilizzo e gestione dei certificati digitali Certification Authorities La Certification Authority (CA) ha lo scopo di fornire i servizi di gestione dei certificati digitali (creazione, utilizzo, revoca, scadenza, rinnovo), emettendo gli stessi e firmandoli con la propria chiave privata al fine di garantirne l autenticità. L infrastruttura adottata si basa su una PKI dedicata composta da una Enterprise CA subordinata alla root CA Baltimore Cybertrust Root di Verizon. Nell ambito dei servizi descritti nel presente CPS, il ruolo di CA è assegnato a Intesa Sanpaolo S.p.A., che si avvale di Intesa Sanpaolo Group Services S.c.p.A (società consortile del Gruppo Intesa Sanpaolo) per la gestione dell infrastruttura informatica a supporto dell erogazione dei servizi di Certification Authority Registration Authorities Lo scopo della Registration Authority (RA) è quello di raccogliere e validare le richieste di emissione dei certificati, autenticare l identità dei soggetti richiedenti e autorizzare o respingere le richieste stesse. La RA ha inoltre la responsabilità di consegnare i certificati digitali ai richiedenti. Il ruolo di RA è assegnato a Intesa Sanpaolo Group Services S.c.p.A e i servizi di Registration Authority vengono erogati tramite il portale servizi della Direzione Sistemi Informativi. Pag. 10 di 38

11 2.3.3 Utenti Finali (Titolari) Gli Utenti Finali (Titolari) sono le società o le strutture aziendali del Gruppo che richiedono un certificato per Web server (SSL/TLS) o client authentication, utilizzabile per i servizi / sistemi di propria competenza. Le richieste dei certificati possono essere effettuate direttamente dal titolare o da una persona/struttura aziendale da esso delegata (es. responsabili dello sviluppo applicativo) Relying Parties Nell ambito del presente CPS, le Relying Parties sono rappresentate dai seguenti soggetti: - in caso di certificati SSL per web server, sono gli utenti che accedono al sito e che fanno affidamento alle informazioni del certificato per accertarne l autenticità; - in caso di certificati di client authentication, sono gli owner dei sistemi/servizi che utilizzano le informazioni del certificato per accertare l autenticità delle postazioni client che si connettono agli stessi; 2.4 Uso dei Certificati I certificati rilasciati in conformità al presente CPS possono essere impiegati per i seguenti utilizzi: - certificati SSL: attivazione del protocollo TLS/SSL per la connessione a siti web; - client authentication: attivazione del protocollo TLS/SSL per l autenticazione di postazioni client a servizi/sistemi aziendali; Intesa Sanpaolo declina ogni responsabilità per qualsiasi altro uso dei certificati emessi dalla propria Certification Authority. La CA non è inoltre responsabile per certificati non emessi e non gestiti secondo quanto indicato nel presente documento. 2.5 Amministrazione del CPS Il presente è redatto, pubblicato e aggiornato almeno annualmente sotto la responsabilità di: Intesa Sanpaolo S.p.A. Piazza San Carlo, Torino (ITALY) Pag. 11 di 38

12 3. PUBBLICAZIONE E REGISTRO DEI CERTIFICATI 3.1 Registro dei Certificati Intesa Sanpaolo S.p.A. gestisce in proprio ed è direttamente responsabile del registro dei certificati, nel quale sono pubblicate informazioni relative ai certificati digitali e ai relativi servizi di emissione e gestione da parte del Certificatore. Il Registro dei Certificati è costituito da una copia di riferimento, inaccessibile dall esterno e risiedente su un sistema sicuro installato in locali protetti, e da più copie operative liberamente accessibili attraverso la rete Internet e risiedenti in una DMZ protetta da firewall. 3.2 Informazioni Pubblicate Nel registro dei certificati vengono pubblicati i seguenti oggetti: 1. il presente ; 2. il certificato della CA; 3. la lista dei certificati revocati (CRL). 3.3 Frequenza delle Pubblicazioni Il CPS viene pubblicato nel Registro dei Certificati alla conclusione del processo di approvazione dello stesso e in occasione di ogni successivo aggiornamento. La CRL viene generata e pubblicata secondo quanto dettagliato nel paragrafo Modalità di accesso al Registro dei Certificati La copia di riferimento del registro dei Certificati è resa inaccessibile dall esterno e risiede su un sistema sicuro installato in locali protetti. Le copie operative sono invece liberamente accessibili attraverso la rete Internet, limitatamente alla sola operazione di lettura. Lo svolgimento delle operazioni che modificano il contenuto del registro dei certificati è possibile solo per il personale espressamente autorizzato. In ogni caso, tutte le operazioni che modificano il contenuto del registro dei certificati vengono tracciate nel giornale di controllo. Il registro dei certificati è accessibile tramite protocollo LDAP (solo all interno dell infrastruttura). In aggiunta la lista dei certificati sospesi o revocati è pubblicata anche tramite protocollo http. Pag. 12 di 38

13 4. IDENTIFICAZIONE E AUTENTICAZIONE 4.1 Naming Tipologie di Nomi I nomi del titolare dei certificati e dell ente emittente sono registrati come Distinguished Name nei campi subject e issuer del certificato Nome della CA Il nome della CA è registrato nel campo subject del certificato della stessa. In particolare il campo contiene i seguenti attributi: Organization Name, contenente Intesa Sanpaolo S.p.A ; Common Name, contenente Intesa Sanpaolo CA Servizi Esterni Enhanced ; Country Name, contenente IT ; Nome del Titolare Il nome del titolare, registrato nel campo subject dei certificati, contiene i seguenti attributi: Country Name, contenente IT ; Organization Name, contenente la denominazione ufficiale dell ente titolare del certificato; Common Name, contenente: - in caso di certificati di Web Server, l FQDN del server/servizio per cui viene richiesto il certificato; - in caso di certificati di Client Authentication, l FQDN del client per cui viene richiesto il certificato; Nel caso di certificati di Web Server, è inoltre presente l attributo Subject Alternative Name Extension, contenente il Fully Qualified Domain Name (FQDN) o l indirizzo IP del web server stesso (non sono ammessi indirizzi IP privati). Nel caso di certificati di Client Authentication, è inoltre presente l attributo Subject Alternative Name Extension contenente il Fully Qualified Domain Name (FQDN) o l indirizzo IP del client stesso. 4.2 Modalità di identificazione e registrazione degli utenti La procedura di identificazione e registrazione dei titolari che richiedono il primo rilascio di un certificato digitale si articola nelle seguenti fasi: sottomissione della richiesta tramite il portale servizi della Direzione Sistemi Informativi di Intesa Sanpaolo Group Services; verifica delle informazioni fornite e accettazione o rifiuto della richiesta. Nel seguito della presente sezione si descrivono i dettagli della procedura Identificazione dei richiedenti Le richieste di rilascio di certificati digitali possono essere effettuate solo da persone che hanno instaurato un rapporto di lavoro o collaborazione con Intesa Sanpaolo Group Services. Pag. 13 di 38

14 L identificazione viene effettuata de visu all inizio del rapporto con Intesa Sanpaolo Group Services e, successivamente alla stessa, all utente vengono consegnate le credenziali di accesso al sistema informativo aziendale. Al fine di poter effettuare le richieste di certificati digitali tramite il Portale Servizi della Direzione Sistemi Informativi, all utente deve inoltre essere fornita una specifica abilitazione, richiesta dal proprio referente aziendale e assegnata dalla struttura interna di sicurezza. Una volta in possesso delle credenziali di accesso e delle opportune abilitazioni, gli utenti possono richiedere il rilascio di certificati digitali accedendo alla rete di Intesa Sanpaolo Group Services, autenticandosi al Portale Servizi della Direzione Sistemi Informativi e compilando il relativo modulo on-line. In particolare, all interno del modulo di richiesta l utente deve specificare le seguenti informazioni: Referente Applicativo; Server Name; Dominio di Responsabilità; Prodotto; Piattaforma; Servizio/Applicazione; Codice Applicazione/Contesto; Installazione su sistemi finali o reverse proxy; destinatari aggiuntivi; Tutte le informazioni sopra elencate sono da considerarsi obbligatorie ai fini della registrazione dell'utente e del rilascio del certificato, e vengono memorizzate in un apposito database ( database di registrazione ) Verifiche svolte dal Certificatore in fase di registrazione A fronte della richiesta di registrazione, l operatore di Registration Authority svolge le seguenti verifiche: 1. Verifica che la CSR sia formalmente corretta sulla base dei dati inseriti Se le verifiche descritte si concludono positivamente, l operatore attiva il processo di emissione del certificato digitale Meccanismo di pre-autorizzazione per certificati SSL/TLS La Registration Authority ha attivato un meccanismo di pre-autorizzazione che consente agli utenti la richiesta di certificati digitali di tipo SSL/TLS (Web server authentication) solo limitatamente ad un elenco di domini predefinito, mantenuto dalla RA stessa. In particolare, tale elenco contiene i soli domini registrati presso ICANN a nome di una Società del Gruppo Intesa Sanpaolo e viene mantenuto aggiornato coerentemente con le operazioni di registrazione e di cancellazione dei domini stessi. Pag. 14 di 38

15 4.3 Identificazione e Autenticazione per le richieste di rinnovo Identificazione e autenticazione per rinnovo ordinario La Certification Authority, in prossimità della data di scadenza di un certificato (30 giorni prima e successivamente ogni settimana fino alla scadenza), invia una notifica al relativo Titolare e a tutte le terze parti interessate, segnalando la necessità di rinnovarlo qualora lo stesso sia ancora in uso sui sistemi informativi. Il processo di rinnovo ordinario di un certificato digitale consiste nell emissione di un nuovo certificato basato sulla Certificate Signing Request originale e contenente le medesime informazioni di quello originale. Le modalità di identificazione e autenticazione in caso di rinnovo ordinario coincidono con quelle previste per il primo rilascio del certificato Identificazione e autenticazione per rinnovo a seguito di revoca Il processo di rinnovo di un certificato a seguito di revoca consiste nella generazione di una nuova coppia di chiavi di cifratura e nell emissione di un nuovo certificato. I dati riportati nel certificato possono differire da quelli originali qualora la revoca sia avvenuta a causa di incorrettezza o aggiornamento degli stessi. Le modalità di identificazione e autenticazione per il rinnovo del certificato a seguito di revoca coincidono con quelle previste per il primo rilascio Identificazione e autenticazione per le richieste di revoca La richiesta di revoca di un certificato digitale può avvenire secondo una delle seguenti modalità: Portale Servizi delle Direzione Sistemi Informativi: in tal caso le modalità di identificazione e autenticazione coincidono con quelle previste per il primo rilascio. aziendale: registrationauthority@intesasanpaolo.com Pag. 15 di 38

16 5. REQUISITI OPERATIVI PER LA GESTIONE DEI CERTIFICATI 5.1 Richiesta dei certificati La richiesta di un certificato digitale viene effettuata tramite il Portale Servizi della Direzione Sistemi Informativi. In particolare la procedura prevede la compilazione di un modulo on-line in cui devono essere specificate le informazioni indicate nel paragrafo Il richiedente si assume la responsabilità della correttezza delle informazioni riportate. A seguito dell invio del modulo, la richiesta viene presa in carico dalla Registration Authority. 5.2 Elaborazione delle richieste dei certificati La Registration Authority, a seguito della presa in carico della richiesta di un certificato, provvede a censire il richiedente nel database di registrazione e ad effettuare le verifiche descritte nel paragrafo Sulla base delle verifiche effettuate, l operatore di Registration Authority approva o rifiuta la richiesta di rilascio del certificato. 5.3 Emissione dei certificati Operazioni effettuate dalla CA In caso di approvazione della richiesta di rilascio, la Certification Authority provvede ad effettuare le seguenti operazioni: Firma della CSR Emissione della chiave pubblica Notifica di avvenuto rilascio Notifica al Titolare A seguito dell avvenuta firma della richiesta di emissione di un certificato, il richiedente riceve notifica dell avvenuta emissione del certificato. E quindi responsabilità del richiedente accedere al portale della Registration Authority e procedere al download della chiave pubblica. 5.4 Accettazione dei certificati Criteri di accettazione dei certificati Il richiedente deve verificare la correttezza dei dati riportati nel certificato e richiedere la revoca dello stesso in caso di riscontro di inesattezze. Pag. 16 di 38

17 5.4.2 Pubblicazione dei certificati da parte della CA La CA effettua la pubblicazione dei soli certificati per le chiavi del Certificatore. 5.5 Utilizzo della coppia di chiavi e dei certificati Utilizzo da parte del Titolare Il Titolare deve utilizzare la coppia di chiavi dei certificati per le seguenti finalità: Web Server (SSL e TLS) abilitare il protocollo SSL/TLS per le connessioni verso i propri siti web, al fine di consentire l autenticazione lato server e la cifratura del traffico scambiato; Client Authentication consentire l autenticazione lato client per la connessione di postazioni utente a siti web, server e reti informatiche. Qualsiasi altro utilizzo della coppia di chiavi e del certificato non è ammesso Utilizzo da parte delle Relying Parties Le Relying Parties utilizzano il certificato digitale per le seguenti finalità: Web Server (SSL e TLS) verificare l autenticità dei siti web e abilitare la cifratura del traffico scambiato; Client Authentication verificare l autenticità delle postazioni utente che si collegano ai propri siti web, server e reti informatiche. Le Relying Parties hanno inoltre responsabilità di consultare la CRL pubblicata dalla CA al fine di verificare la validità dei certificati emessi. 5.6 Rinnovo dei certificati I certificati digitali cessano di essere attivi al raggiungimento della data di scadenza riportata sugli stessi o a seguito di operazioni di revoca e, qualora sia ancora necessario il loro utilizzo, occorre procedere al relativo rinnovo. 5.7 Rigenerazione delle chiavi La rigenerazione delle chiavi di cifratura comporta sempre l emissione di un nuovo certificato digitale da associare alle stesse. Il processo di emissione del certificato e generazione della coppia di chiavi di cifratura è il medesimo di quello previsto in caso di primo rilascio. 5.8 Modifica dei Certificati La modifica dei certificati non è prevista dal Certificatore. Ogni cambiamento alle informazioni in esso contenute comporta la generazione di una nuova coppia di chiavi e l emissione di un nuovo certificato ad essa associato. L emissione di un nuovo certificato comporta sempre la revoca di quello precedentemente rilasciato al Titolare. Pag. 17 di 38

18 5.9 Revoca dei Certificati La revoca del certificato comporta la cessazione permanente della validità dello stesso, a partire da una data e ora prefissata. La revoca comporta l inclusione del numero di serie del certificato oggetto dell operazione all interno della CRL e la successiva pubblicazione della stessa Circostanze per la revoca del certificato Il Certificatore procede alla revoca del certificato nelle seguenti circostanze: perdita del controllo della chiave privata da parte del Titolare, derivante dall accadimento di uno o più dei seguenti eventi: compromissione dei codici di attivazione della chiave privata; ragionevole dubbio che sia stata violata la confidenzialità della chiave privata; sospetti abusi o attività illecite; inadempienze da parte del Titolare; cessazione dell utilizzo del certificato; variazione dei dati riportati nel certificato; errori di registrazione (ad es. informazioni inesatte riportate nel certificato); richieste delle autorità giudiziarie; (Solo per certificati SSL/TLS) variazione dei dati di registrazione del dominio associato al certificato (es. rimozione del dominio dal registro ICANN) Soggetti che possono richiedere la revoca La revoca del certificato può essere effettuata su richiesta del Titolare (o persona da esso delegata) o direttamente dalla Certification Authority Procedura di revoca per richiesta del Titolare Il titolare (o la persona da esso delegata) ha a disposizione le seguenti modalità per inoltrare la richiesta di revoca del certificato in proprio possesso: Portale Servizi della Direzione Sistemi Informativi, previa autenticazione con le credenziali in proprio possesso e accesso alla sezione relativa ai servizi di certificazione digitale; della struttura di Registration Authority; Procedura di revoca per richiesta della CA Salvo i casi di motivata urgenza, qualora la CA che ha rilasciato il certificato intenda revocare lo stesso ne darà preventiva comunicazione al Titolare, specificando i motivi della revoca e la relativa data di decorrenza. In ogni caso verrà data successiva comunicazione dell avvenuta revoca al Titolare Grace Period delle richieste di revoca A seguito dell operazione di revoca, il Certificatore pubblicherà il certificato nella prima CRL regolarmente emessa, considerando il periodo di tempo necessario a svolgere l operazione di revoca. In particolare il grace period è fissato a 12 ore. Pag. 18 di 38

19 Inoltre l avvenuta revoca viene registrata nel giornale di controllo Requisiti per la verifica della validità dei Certificati Le Relying Parties devono tenere in considerazione i seguenti requisiti al fine di verificare la validità dei certificati emessi dal Certificatore: la CRL deve essere scaricata dal punto di distribuzione specificato nel certificato; la firma della CRL deve essere verificata tramite il certificato della CA Frequenza di pubblicazione della CRL La CRL viene pubblicata nel Registro dei Certificati ogni 36 ore e comunque a seguito di ogni operazione di revoca Latenza massima per la CRL La CRL, non appena viene emessa, è immediatamente pubblicata sulla copia di riferimento (Master Copy) del Registro dei Certificati e successivamente replicata sulle copie operative (Shadow Copies) dello stesso (entro 30 minuti) Disponibilità del servizio di verifica on-line dello stato dei Certificati La disponibilità del servizio OCSP è assicurata in modalità 24* Requisiti per la verifica on-line dello stato dei Certificati Per effettuare la verifica on-line dello stato dei certificati è necessario effettuare una richiesta specifica (OCSP request) verso il sistema OCSP responder del Certificatore, che invia in risposta un messaggio con le informazioni di validità degli stessi (certificato valido, revocato o sconosciuto) Servizi informativi sullo stato dei Certificati Caratteristiche Operative Le informazioni sullo stato dei certificati sono rese disponibili agli interessati per mezzo di una Certificate Revocation List (CRL) pubblicata sul Registro dei Certificati, costituito da una copia di riferimento, inaccessibile dall esterno e risiedente su un sistema sicuro installato in locali protetti, e da più copie operative liberamente accessibili attraverso la rete Internet. Le copie operative sono replicate su siti differenti al fine di rendere disponibile una copia del Registro dei certificati anche in caso di disastro. Il registro dei certificati è accessibile tramite protocollo LDAP, come definito nella [RFC2251], o tramite protocollo http, come definito nella [RFC2616]. Il punto di distribuzione della CRL è specificato, per ciascun protocollo, all interno di ogni certificato emesso dalla CA (estensione CRLDistributionPoints). Lo stato dei certificati degli utenti finali può anche essere controllato tramite un servizio di verifica on-line basato sul protocollo OCSP (On-line Certificate Status Protocol) e conforme alla specifica [RFC2560]. L indirizzo del server OCSP è specificato all interno dei certificati emessi dalla CA (estensione AuthorityInformationAccess) Disponibilità del servizio La disponibilità della CRL è assicurata in modalità 24*7. Pag. 19 di 38

20 5.11 Cessazione del contratto I termini di cessazione dei servizi di Certification Authority sono definiti all interno dei contratti di servizio sottoscritti dalle singole Società del Gruppo Intesa Sanpaolo Key escrow e key recovery La chiave privata della Certification Authority è generata direttamente da un apparato HSM che ne scrive il valore in maniera cifrata su un Remote File System. La chiave può essere recuperata avendo a disposizione 3 di 5 smart cards contenenti il security world con cui è stato inizializzato l apparato HSM, il contenuto del Remote File System e un apparato HSM analogo. In ogni caso la chiave recuperata non è in alcun modo esportabile al di fuori di questo environment. Pag. 20 di 38

21 6. CONTROLLI OPERATIVI, GESTIONALI E DI FACILITY 6.1 Controlli di Sicurezza Fisica Ubicazione e Costruzione L'infrastruttura della Certification Authority è collocata all interno dei locali di un Data Center conforme a quanto previsto dalla normativa italiana nell ambito della sicurezza degli stabili e dei luoghi di lavoro. Il sito è un ambiente half cable e nell edificio è presente una Meet Me Room (MMR) dove terminano tutti i cavi esterni. Tale MMR fornisce un percorso sicuro, affidabile e diversificato per la connettività Controlli di Accesso Fisico Gli accessi fisici all edificio e ai locali sono consentiti solo al personale autorizzato e gli ospiti devono essere preregistrati prima di accedere agli stessi. Le richieste di accesso al sito possono essere sottoposte e accettate soltanto dal personale autorizzato, elencato in una Security Access List Gruppi di Continuità e Sistemi di Condizionamento I locali sono muniti di impianto di condizionamento e l impianto elettrico è protetto da cadute di tensione tramite un sistema UPS e un gruppo elettrogeno. L integrità delle apparecchiature e degli impianti è mantenuta e verificata costantemente, al fine di evitare guasti che possano causare interruzione al funzionamento continuo dei servizi Prevenzione da allagamenti Tutti i siti sono ospitati in edifici collocati in zone non sismiche, dotati di opportuni sistemi di scarico delle acque e lontani dai corsi d acqua Prevenzione antincendio Tutti i siti sono dotati di sofisticati sistemi per il rilevamento e la soppressione degli incendi. Il personale viene inoltre adeguatamente formato affinché apprenda le procedure di evacuazione dell edificio e di raduno presso il punto di raccolta designato Dismissione dei rifiuti I materiali infiammabili quali scatoloni di cartone, carta, libri, manuali e scale di legno non vengono mantenuti all interno del Data Center. È inoltre espressamente vietato conservare oggetti all interno degli armadi delle apparecchiature. All esterno dell edificio sono inoltre stati predisposti appositi contenitori per la raccolta dei rifiuti e dei materiali di scarto. Per garantire la sicurezza delle aree interne al Data Center, al termine di ogni giornata lavorativa si provvede a rimuovere qualunque materiale combustibile presente nei locali Backup Off-Site I Log, l archivio dati e tutto quanto necessario per garantire la continuità dei servizi sono oggetto di backup off-site. Pag. 21 di 38

22 6.2 Controlli Procedurali Definizione dei ruoli L implementazione e il controllo dell information security all interno del servizio di CA è regolato da strutture organizzative con ruoli e compiti ben definiti. In particolare, le quantità di sicurezza sono gestite sotto la responsabilità dei Key Manager, che presiedono alla creazione delle stesse e ne garantiscono la riservatezza e il corretto utilizzo. I Key Manager hanno accesso a tutte le zone sicure con accesso controllato, sia dove sono presenti gli HSM sia dove sono custodite in apposite casseforti le quantità di sicurezza, e sono divisi in due tipologie: Key Manager Administrator: hanno in gestione una parte di tutte le quantità di sicurezza, ed hanno le competenze tecniche per la gestione degli HSM; in questo modo possono gestire eventuali attivazioni degli OCS o ripristino di un HSM dallo stato di non utilizzabile; Key Manager User: hanno in gestione solo una parte accessoria di quantità di sicurezza, e non hanno le competenze tecniche per la gestione degli HSM Numerosità del personale richiesto per attività Per tutte le operazioni di ordinaria amministrazione sulla CA è necessario un solo un Key Manager User, mentre per le operazioni sulle chiavi di cifratura sono necessari almeno due Key Manager Administrator Identificazione e Autenticazione per ciascun Ruolo Gli ingressi al Data Center sono effettuati sotto la sorveglianza del personale preposto al controllo degli accessi alle strutture, e devono sempre essere autorizzati in modo preventivo attraverso una richiesta formale. Una volta ricevuta la conferma dell abilitazione all accesso, la persona autorizzata può accedere al Data Center attraverso le apposite bussole previa presentazione del proprio badge. Ogni accesso al Data Center viene tracciato Ruoli per cui è richiesta la separazione dei Compiti I Key Manager Administrator hanno accesso a tutte le zone sicure con accesso controllato, sia dove sono presenti gli HSM sia dove sono custodite le quantità di sicurezza nelle casseforti dedicate. Ogni Key Manager Administrator conosce e può gestire solo una parte delle quantità di sicurezza; in questo modo sono necessarie entrambe le persone con tale ruolo per poter effettuare operazioni di gestione delle chiavi di cifratura della CA. 6.3 Controlli sul Personale Qualifiche ed esperienza del personale Tutto il personale coinvolto nella gestione dei servizi di CA possiede un esperienza che è stata verificata durante gli anni dai referenti tecnici con il supporto della struttura di Human Resource. Il personale addetto ha ricevuto un adeguato addestramento ed è costantemente aggiornato sulle soluzioni tecnologiche adottate, sulle procedure, sulle politiche di sicurezza e sulle variazioni organizzative. Nessuno tra il personale addetto ha avuto in passato sanzioni disciplinari dovute a violazione delle misure di sicurezza, né ha in essere altri incarichi incompatibili con quelli relativi ai servizi di certificazione Verifiche sulla qualità del personale La qualità del personale viene costantemente verificata dai referenti tecnici del Certificatore con il supporto della struttura di Human Resource. Pag. 22 di 38

23 6.3.3 Requisiti per la Formazione del Personale Tutto il personale coinvolto nella gestione dei servizi di CA viene formato adeguatamente prima di ricevere gli accessi al sistema; inoltre viene informato sui rischi correlati al mancato rispetto delle policy aziendali e sulle eventuali sanzioni previste in caso di inadempienza Frequenza di erogazione della Formazione Con frequenza trimestrale vengono effettuate delle verifiche sul livello formativo delle risorse coinvolte, intervenendo con corsi specifici laddove vengono riscontrati eventuali gap. I corsi di formazione vengono inoltre programmati in occasione di specifiche necessità quali adeguamenti all'infrastruttura, adeguamenti normativi o attivazione di nuovi servizi Job Rotation Per garantire l'adeguata copertura del servizio e assicurare un livello di competenza elevato, le singole funzioni vengono assegnate in modo continuativo a personale altamente specializzato. In caso di inserimento di nuove risorse, a seguito del completamento dell iter formativo le stesse vengono impiegate in affiancamento al personale specializzato per il periodo necessario al raggiungimento della totale autonomia Sanzioni a seguito di azioni non autorizzate Nei casi in cui vengano riscontrate azioni non autorizzate da parte di uno o più soggetti, a questi vengono immediatamente revocati gli accessi all'infrastruttura e inibita la partecipazione a qualsiasi attività riferita all erogazione dei servizi di CA. Vengono inoltre applicate le sanzioni previste dagli specifici accordi contrattuali di categoria Requisiti per Enti Terzi Nessun ente terzo ha accesso diretto all'infrastruttura di CA ed eventuali interventi sono sempre eseguiti sotto la supervisione del personale autorizzato Documentazione fornita al personale Al personale vengono forniti tutti i documenti necessari alla gestione e amministrazione dell'infrastruttura di CA. 6.4 Procedure di Logging Tipologia di eventi registrati Tutti i sistemi mantengono traccia delle operazioni rilevanti. Gli eventi vengono inoltre classificati in base a diversi livelli di rilevanza: il livello minimo è costituito dagli eventi di tipo informativo, in genere relativi ad attività ordinarie (es. richiesta di certificato, emissione di una nuova CRL), mentre il livello massimo si riferisce ad eventi critici (es. tentativi di eseguire operazioni non autorizzate, malfunzionamenti hardware o software) Frequenza di elaborazione dei log I dati di log vengono monitorati in tempo reale per individuare eventi di criticità elevate che richiedano immediato intervento di remediation. Al rilevamento di un evento critico, un sistema automatizzato invia un allarme che viene registrato nella console di gestione per l apertura di un incidente. Pag. 23 di 38

24 6.4.3 Periodo di conservazione dei log di audit Tutti i log di audit vengono archiviati giornalmente in un sistema centralizzato e conservati per un periodo di 1 mese Protezione dei log di audit L immagine archiviata è cifrata dal software di backup e può essere decifrata in sola consultazione dal software stesso Procedure di backup dei log di audit I backup dei log di audit sono gestiti dal software Netbackup e vengono salvati su infrastruttura DataDomain Vulnerability Assessment E prevista l esecuzione di specifiche verifiche di vulnerabilità nell ambito del processo generale di Risk Assessment. Tali verifiche hanno in genere frequenza almeno annuale. 6.5 Archiviazione dei dati Tipologie di informazioni archiviate Oltre ai dati di log, viene eseguito un backup giornaliero dell immagine della macchina virtuale contenente i dati delle CA, degli utenti registrati e dei certificati emessi e le informazioni relative allo stato di revoca Periodo di conservazione dei dati archiviati I dati archiviati vengono conservati per un periodo di 1 mese Protezione dell archivio Gli archivi, contenenti tutti i dump dei dati in formato compresso, vengono conservati giornalmente sui singoli nodi di un DBMS dedicato, all interno di una rete segregata Persone che possono accedere all archivio L accesso ai backup è consentito solo agli amministratori di sistema Protezione dell integrità dell archivio L integrità dell archivio è garantito dal software di backup che attua meccanismi proprietari di integrity check Protezione dell archivio dalla cancellazione Gli archivi possono essere cancellati solo dal software di backup Protezione dell archivio dal deterioramento L infrastruttura DataDomain dispone di meccanismi di fault-tolerance e di protezione dal deterioramento tramite archiviazione su tape library Protezione dell archivio dall obsolescenza Non prevista Pag. 24 di 38

25 6.5.4 Procedure di backup dell archivio Le copie di backup dell'archivio vengono salvate quotidianamente dal software Netbackup su tape library e conservate per un periodo di 1 mese Procedure per accedere e verificare le informazioni dell Archivio L accesso ai nodi del DBMS è consentito gli amministratori di sistema, mentre i DB administrator ne possono verificare il contenuto. 6.6 Rinnovo delle chiavi della CA Rinnovo chiavi Enterprise CA La Enterprise CA ha un periodo di vita pari a 10 anni e ogni 7 anni è previsto il rinnovo della stessa e la realizzazione di una nuova key ceremony per la creazione delle relative chiavi di cifratura. Tale tempistica garantisce che il periodo di validità dei certificati emessi dalla CA preceda il periodo di validità di quest ultima. 6.7 Compromissione e Disaster Recovery Procedure di gestione degli incidenti Il Responsabile della Sicurezza mantiene un piano di gestione degli incidenti che prevede le seguenti fasi: gestione dell'emergenza: in questa fase è garantita la continuità di accesso alle CRL. La loro emissione può subire ritardi derivanti dalla necessità di attivare il server di backup della CA, situato presso il sito di recovery; gestione del transitorio: in questa fase è assicurata l'emissione dei certificati e il ripristino di ulteriori servizi presso il sito di disaster recovery; ripristino dell'esercizio a regime: in tale fase viene garantito il ripristino di tutti i servizi della CA, presso il sito originale o in uno alternativo Procedure di recovery in caso di compromissione di Risorse, Software o Dati La presenza di repliche della copia operativa del registro dei certificati distribuite in più siti consente, in caso di interruzione dell operatività del sito primario, di mantenere la disponibilità dei contenuti dello stesso, i quali risultano aggiornati al momento dell'interruzione. Al fine di garantire una corretta gestione delle situazioni di emergenza è prevista la replica, nel sito di recovery, del registro dei certificati e dei dati del sistema di emissione degli stessi, e l'intervento entro 24 ore di personale specializzato che provvede ad attivare la funzionalità di emissione delle CRL. Tale personale è adeguatamente formato relativamente alle modalità di gestione delle componenti hardware e software dell infrastruttura di CA e alle procedure di gestione delle emergenze. Entro il medesimo lasso di tempo è inoltre previsto l'intervento dei depositari delle componenti della chiave privata della CA ai fini di ricostruirla nel dispositivo di firma del sito di recovery Procedure di gestione dei casi di compromissione delle chiavi del Certificatore Compromissione dei dispositivi utilizzati per erogare i servizi di certificazione In caso di guasto del dispositivo di firma è prevista, a seconda della tipologia del danno, la reinizializzazione del dispositivo stesso o l inizializzazione di uno nuovo con rigenerazione delle chiavi di cifratura originali. Pag. 25 di 38

26 Compromissione della chiave privata del Certificatore In caso di compromissione delle chiavi private del Certificatore è applicata la procedura di revoca e si provvede a generare una nuova coppia di chiavi di cifratura per poter garantire il corretto funzionamento del sistema Processo di Business Continuity a seguito di disastro Il Responsabile della sicurezza mantiene il piano di gestione degli eventi di crisi, che specifica i passi operativi necessari per poter garantire la continuità dei processi di business a seguito di disastro. I Piani di Business Continuity, definiti in corrispondenza degli scenari di indisponibilità di personale, siti o risorse IT, sono formalizzati all interno di specifici documenti, resi disponibili al personale interessato tramite gli strumenti di comunicazione aziendali. 6.8 Cessazione della CA La cessazione della CA comporta la revoca di tutti i certificati da essa rilasciati. Pag. 26 di 38

27 7. MISURE TECNICHE DI SICUREZZA 7.1 Generazione delle Chiavi Enterprise CA Le coppie di chiavi di certificazione della CA sono generate in un ambiente fisicamente sicuro tramite dispositivo HSM. Per ciascuna coppia di chiavi di certificazione generato viene in seguito prodotta una Certificate Signing Request (CSR) verso la Certification Authority Baltimore Cybertrust Root di Verizon, affinché la stessa provveda a emettere un nuovo certificato digitale contenente la chiave pubblica e le informazioni della Enterprise CA Titolari Le coppie di chiavi di certificazione assegnate ai Titolari dei certificati sono generate in un ambiente fisicamente sicuro tramite dispositivo HSM. Per ciascuna coppia di chiavi di certificazione viene generato un certificato, firmato con la chiave privata della Enterprise CA, contenente la chiave pubblica e le informazioni del rispettivo Titolare. 7.2 Distribuzione della chiave pubblica Enterprise CA La chiave pubblica della CA è inclusa nel certificato associato alla stessa e firmato dalla Certification Authority Baltimore Cybertrust Root di Verizon. Il certificato della CA viene pubblicato nel Registro dei Certificati (copia Master) e reso accessibile tramite copie Shadow Titolari Le chiavi pubbliche dei Titolari sono incluse nei certificati digitali associati alle stesse e firmati dalla Enterprise CA. 7.3 Lunghezza delle chiavi Enterprise CA Le chiavi della CA hanno una lunghezza pari ad almeno 2048 bit Titolari Le chiavi assegnate ai Titolari hanno una lunghezza pari ad almeno 2048 bit. Pag. 27 di 38