GUIDA ALL'AUTENTICAZIONE. Website Security Solutions

Transcript

1 GUIDA ALL'AUTENTICAZIONE Website Security Solutions

2 Sommario Introduzione...3 Tipi di certificato...4 Matrice di autenticazione...5 Elenchi di interdizione alle esportazioni del governo degli Stati Uniti...6 Autenticazione dell'organizzazione Giurisdizione Proof of Right con esempi Autenticazione del dominio WHOIS Requisiti del dominio Metodi di approvazione alternativi Revisione dell'unità organizzativa/conferma dell'esistenza operativa...11 Verifica dell'indirizzo...12 Numero di telefono fornito da terzi Requisiti dei referenti...15 Conferma dell'occupazione e autorità per EV...16 Telefonata di verifica/contratto di conferma Certificati Domain Validated...19 Symantec Safe Site...20 Professional Opinion Letter...21 Best Practice...22 Risorse per i Partner...23 Recapiti...24

3 Introduzione Symantec promuove innovazione e tecnologie mirate a proteggere le informazioni di tutto il mondo, in un panorama minacciato da rischi in continua evoluzione. Nell'ambito della promozione dell'innovazione, l'autenticazione è una parte fondamentale del nostro portafoglio. Symantec ha favorito e adottato i requisiti di base della CA Browser Forum per rafforzare ulteriormente la sicurezza nelle operazioni SSL e nelle procedure di autenticazione e offrire maggiore protezione e affidabilità nelle transazioni online. I requisiti di base della CA/B Forum, che contribuiscono a ridurre al minimo i rischi e ad aumentare la fiducia dell'utente, elevano tutte le autorità di certificazione (CA) a un livello superiore di standard e di sicurezza dell'autenticazione. Le nostre consolidate procedure di autenticazione e verifica aiutano i commercianti a far crescere la loro attività online, ispirando fiducia nei consumatori grazie al controllo e alla riduzione dei rischi di frode. Queste procedure sono il risultato di anni di gestione di un'infrastruttura Internet affidabile e dell'autenticazione di oltre mezzo milione di aziende. In qualità di partner autorizzati nell'ambito del Programma partner per la sicurezza dei siti Web, è fondamentale che voi comprendiate le nostre pratiche di autenticazione per la continuità operativa e il successo nelle vendite. Symantec Website Security Solutions ha creato questa guida per aiutarvi ad apprezzare la potenza e l'affidabilità di questa procedura, ma anche per farvi orientare nella procedura di autenticazione. Privati e aziende intraprendono l'autenticazione fornendo informazioni a Symantec nell'ambito della procedura di registrazione online. In base al tipo di certificato ordinato, Symantec può verificare che: L'organizzazione e il personale organizzativo di riferimento non sono menzionati negli elenchi di interdizione alle esportazioni del governo degli Stati Uniti: Denied Countries List, Denied Persons List, Denied Entities List, US Treasury Department List, o soggetti a embargo, sanzioni o ad altre restrizioni. L'organizzazione dispone di credenziali emesse dallo stato, come un atto costitutivo o una licenza commerciale che consentono di svolgere attività d'impresa. L'organizzazione possiede il nome di dominio per cui viene emesso il certificato OPPURE ha ottenuto il diritto legale a utilizzare uno specifico nome di dominio dal proprietario dello stesso. È possibile controllare tramite un numero di telefono fornito da terzi che il referente dell'organizzazione è un dipendente dell'organizzazione che ordina il certificato. L'organizzazione opera da un indirizzo fisico verificato. Symantec inoltre riesamina attentamente eventuali informazioni relative all'ordine che sono state evidenziate perché in contrasto con l'ordine. Questa guida completa fornirà informazioni dettagliate, dalla registrazione all'emissione del certificato in modo chiaro e di facile lettura. <<Indietro 3 Avanti>>

4 Tipi di certificato Il Programma partner per la sicurezza dei siti Web Symantec offre l'accesso alle soluzioni di sicurezza più riconosciute. Questo programma per i partner include prodotti SSL e per la sicurezza dei siti Web di alto livello, leader di settore e con un marchio di valore. Nella presente guida sono illustrate le offerte di prodotti disponibili nel Programma partner per la sicurezza dei siti Web, suddivise in 5 categorie diverse descritte di seguito: 1. I certificati SSL Domain-Validated (DV) offrono crittografia con la sola autenticazione del dominio e confermano che il richiedente è associato all'utilizzo del dominio. Prodotti SSL Domain-Validated offerti: Thawte SSL123 GeoTrust QuickSSL Premium RapidSSL 2. I certificati SSL Organization-Validated (OV) offrono un'autenticazione aziendale completa, con la verifica dell'identità dell'azienda e della proprietà del dominio. Prodotti SSL Organization-Validated offerti: Symantec Secure Site Symantec Secure Site Pro Symantec Secure Site Wildcard GeoTrust True Business ID GeoTrust True Business ID Wildcard Thawte SSL Web Server Thawte SGC SuperCert Thawte Wildcard SSL 3. I certificati SSL Extended Validation (EV) adottano un livello di autenticazione più rigoroso e offrono il massimo livello di verifica attualmente disponibile nel settore. Prodotti Extended Validation offerti: Symantec Secure Site con EV Symantec Secure Site Pro con EV Thawte SSL Web Server con EV GeoTrust True Business ID con EV 4. Gli ID di firma del codice offrono un'autenticazione aziendale completa. L'ID genera una firma digitale che fornisce l'autenticazione dell'origine del codice e la verifica della sua integrità. Prodotti di firma del codice offerti: Symantec Code Signing per organizzazioni Thawte Code Signing per organizzazioni Symantec Code Signing per privati Thawte Code Signing per privati 5. Symantec Safe Site verifica l'identità e conferma che il sito ha superato una scansione quotidiana antimalware esponendo il sigillo Norton Secured. Symantec Safe Site non fornisce crittografia SSL. Prodotti Symantec Safe Site offerti: Symantec Safe Site per organizzazioni Symantec Safe Site per privati Il nostro programma per i partner include prodotti SSL e per la sicurezza dei siti Web di alto livello, leader di settore e con un marchio di valore. <<Indietro 4 Avanti>>

5 Matrice dei prodotti per l'autenticazione Il livello di autenticazione varia per categoria di certificato e tipo di prodotto. Abbiamo creato una guida completa per aiutarvi a comprendere meglio che cosa comporta la convalida di ogni certificato. La Matrice dei prodotti per l'autenticazione sottostante traccia le fasi dell'autenticazione, mentre le istruzioni dettagliate di ognuna di queste fasi sono disponibili in questa guida. Domain Validation* Organization Validation Extended Validation Firma del codice Safe Site* Nome del prodotto Elenchi di interdizione alle esportazioni del governo degli Stati Uniti Autenticazione dell'organizzazione Autenticazione del dominio Thawte SSL123 GeoTrust QuickSSL Premium RapidSSL Symantec Secure Site Symantec Secure Site Pro Symantec Secure Site Wildcard GeoTrust True Business ID GeoTrust True Business ID Wildcard Thawte SSL Web Server Thawte SGC SuperCert Thawte Wildcard SSL Symantec Secure Site con EV Symantec Secure Site Pro con EV Thawte SSL Web Server con EV GeoTrust True Business ID con EV Symantec Code Signing per organizzazioni Thawte Code Signing per organizzazioni Symantec Code Signing per privati Thawte Code Signing per privati Symantec Safe Site per organizzazioni Symantec Safe Site per privati Revisione dell'unità organizzativa Verifica dell' esistenza operativa Verifica dell' indirizzo aziendale Conferma del N. di telefono fornito da terzi Conferma di occupazione e autorità del referente EV Verifica del referente Contratto di conferma *Questi prodotti hanno pratiche di autenticazione specializzate. Utilizzare il Sommario per consultare sezioni specifiche e ottenere maggiori informazioni. <<Indietro 5 Avanti>>

6 Elenchi di interdizione alle esportazioni del governo degli Stati Uniti Il governo degli Stati Uniti pubblica e aggiorna i seguenti elenchi di interdizione alle esportazioni del governo. Questi elenchi includono organizzazioni globali e privati con cui Symantec ha il divieto di stabilire rapporti commerciali. Symantec non emette certificati per un'organizzazione se tale organizzazione o qualsiasi referente indicato nell'ordine compare in uno di questi elenchi, tra i quali citiamo: US Department of Commerce Bureau of Industry and Security Denied Persons List (Dipartimento del Commercio degli Stati Uniti - Ufficio dell'industria e della Sicurezza, Elenco delle persone interdette dalle esportazioni): Si tratta di trasgressori alla normativa statunitense in materia di esportazione ("EAR", Export Administration Regulations). L'elenco delle persone interdette dalle esportazioni contiene i nomi e gli indirizzi di aziende e privati con divieto di accesso ai beni degli Stati Uniti oltre alle ragioni dell'azione di interdizione. US Department of Commerce Bureau of Industry and Security Denied Entities List (Dipartimento del Commercio degli Stati Uniti - Ufficio dell'industria e della Sicurezza, Elenco delle entità interdette dalle esportazioni): si tratta di persone, paesi, o organizzazioni che secondo il governo degli Stati Uniti presentano un rischio inaccettabile di diversione allo sviluppo di armi di distruzione di massa o di missili utilizzati per consegnare tali armi. US Treasury Department List of Specially Designated Nationals and Blocked Persons (Dipartimento del Tesoro degli Stati Uniti - Elenco di entità con designazione speciale e beni congelati): Si tratta di persone fisiche o giuridiche con designazione speciale le cui proprietà sono state congelate dal governo degli Stati Uniti in conformità con i vari programmi sanzionatori gestiti dall'ofac (Office of Foreign Assets Control). Symantec si assicura inoltre che i suoi clienti non provengano da un Paese interdetto alle esportazioni, a cui le aziende statunitensi ed eventuali loro sedi al di fuori degli Stati Uniti non possono vendere determinati prodotti da parte del governo degli Stati Uniti. Questi paesi possono cambiare in qualsiasi momento, ma attualmente sono: Cuba Iran Siria Sudan Corea del Nord <<Indietro 6 Avanti>>

7 Autenticazione dell'organizzazione Nell'ambito della procedura di autenticazione di Symantec, convalideremo il nome dell'organizzazione immesso durante la registrazione, così come compare sul certificato SSL. L'organizzazione che richiede un certificato deve essere un'entità attiva, confermata dall'ente pubblico responsabile della registrazione delle aziende in una specifica giurisdizione (località, stato, paese) citata nella richiesta di certificato. È necessaria una corrispondenza esatta tra il nome dell'organizzazione registrato e il nome confermato. Non possiamo accettare errori ortografici, acronimi non registrati o abbreviazioni nel nome dell'organizzazione. Nota importante: i certificati Extended Validation richiedono una corrispondenza esatta tra l'organizzazione registrata e il nome confermato, compresi gli identificativi aziendali (ad es., Inc, Corp, LLC, Ltd, Pty Ltd, ecc.) Symantec ha accesso a un gran numero di atti pubblici in tutto il mondo. Nella maggior parte dei casi, Symantec è in grado di trovare un documento "Proof of Right" (la prova della registrazione di un'impresa) nell'archivio di uno dei numerosi database pubblici o privati a cui abbiamo accesso. Esempi di risorse della "pubblica amministrazione" includono: California Secretary of State (per le aziende statunitensi registrate nello stato della California, USA) Città di Chicago, IL (Licenze commerciali di Chicago) National Credit Union Administration (istituti di credito cooperativo federali degli Stati Uniti) Companies House - Regno Unito Kamer van Koophandel (KVK) (Società registrate nei Paesi Bassi) Companies Office - Nuova Zelanda State Administration for Industry & Commerce della Repubblica Popolare Cinese Se tuttavia una particolare risorsa non fosse disponibile o se non riuscissimo a convalidare la vostra organizzazione con le risorse disponibili, possiamo richiedere una credenziale aziendale emessa dallo stato, spesso denominata Proof of Right (POR). Il Proof of Right è un documento che dà a un'azienda o organizzazione il diritto di svolgere un'attività commerciale con quel nome. Se tale documento è necessario per la vostra organizzazione, contatteremo il referente organizzativo nominato per la registrazione e richiederemo una copia di un documento accettabile come Proof of Right. Esempi di documenti accettabili includono a titolo esemplificativo: Statuto / Atto costitutivo Licenza commerciale / da fornitore / da rivenditore / per la vendita al pubblico Documenti ufficiali / Documenti relativi alla partnership Registrazione del nome commerciale o dell'appellativo / Operante con la denominazione di / Dichiarazione di nome fittizio Registro Mercantil Dopo aver ricevuto dal cliente un documento Proof of Right accettabile, dobbiamo quindi convalidarlo verbalmente con l'autorità che l'ha rilasciato. Se non possiamo confermare la validità del documento con l'autorità che l'ha rilasciato, possiamo usare una terza parte per verificare l'esistenza dell'organizzazione. Notare che la richiesta di documentazione in merito a un ordine potrebbe comportare il ritardo nei tempi di emissione del relativo certificato. I certificati non possono essere emessi finché tutta la documentazione appropriata non è in ordine e non è stata verificata con l'ente emittente. Per questo motivo, è essenziale l'invio tempestivo della documentazione. <<Indietro 7 Avanti>>

8 Autenticazione dell'organizzazione Come indicato alla pagina precedente, gli elementi che vengono verificati con le risorse della pubblica amministrazione sono i seguenti: 1. Il nome dell'organizzazione nella registrazione Deve essere identico a quello riportato nella registrazione dell'attività 2. La giurisdizione Paese, stato e città (se applicabile) devono corrispondere a quanto riportato nella registrazione 3. Lo stato dell'organizzazione Deve riportare "in attività" o stato equivalente, organizzazioni non in attività/revocate o con stato equivalente non possono ottenere un certificato SSL e devono aggiornare il loro stato. Organizzazione: Symantec (UK) Limited Paese: GB Stato: Berkshire Località (città): Reading Organizzazione: Symantec (UK) Limited Paese: USA Stato: California Località (città): Mountain View Organizzazione: Symantec Corporation Paese: USA Stato: California Località (città): Mountain View 0 0 x x0 0 x Organizzazione: SYMC LTD Paese: GB Stato: Berkshire Località (città): Reading <<Indietro 8 Avanti>>

9 Autenticazione del dominio Per permettere a Symantec di convalidare il dominio/i domini del vostro sito Web, dobbiamo trovare la prova che possedete il nome o i nomi di dominio che cercate di proteggere oppure che avete un diritto legale all'utilizzo di quel nome di dominio. Nel primo caso, controlliamo i database online con l'elenco dei legittimi proprietari di ogni nome di dominio che proteggiamo. Un report WHOIS è un servizio fornito dalla maggior parte dei registri di dominio che fornisce informazioni sulla proprietà (il registrante) del dominio e sui suoi recapiti. Ad esempio, per trovare il proprietario del dominio Symantec.com 1. Possiamo utilizzare una ricerca WHOIS 2. Entrare nel dominio in questione (ad es. Symantec.com) ed esaminare i risultati della ricerca 3. Il registrante del dominio (il proprietario) è Symantec Corporation In base all'estensione o alle estensioni del vostro dominio, Symantec utilizzerà vari database di ricerca WHOIS per stabilire il registrante del dominio (il proprietario). Nota importante: i nomi comuni di Intranet (che non contengono un nome di dominio completo) non sono più consentiti come stabilito dalle linee guida di settore (CA Browser Forum). Dobbiamo inoltre verificare che il dominio/i domini indicati nella registrazione del certificato siano registrati con un registrante dominio accreditato da uno di questi due enti: ICANN (Internet Corporation for Assigned Names and Numbers): Per domini di primo livello con codice non attribuito per paese (.com,.net,.org,.biz, ecc.) e le estensioni di dominio di primo livello con codice paese internazionale (.de,.uk,.au,.cn, etc.) IANA (Internet Assigned Numbers Authority): Per estensioni di dominio di primo livello con codice paese internazionale (.de,.uk,.au,.cn, etc.) <<Indietro 9 Avanti>>

10 Autenticazione del dominio Che cosa succede se il dominio non è registrato a nome dell'organizzazione citata sulla registrazione del certificato? Se il registrante (proprietario) del dominio/dei domini registrati nell'ordine non corrisponde alla ragione sociale/denominazione legale dell'organizzazione (secondo le verifiche effettuate durante l'autenticazione dell'organizzazione), potremmo richiedere un aggiornamento delle informazioni del registrante al registro del dominio per confermare la ragione sociale/ denominazione legale completa dell'organizzazione. Se un dominio è "registrato privatamente", e quindi la vera identità del registrante non viene resa pubblica, richiederemo che l'identità sia resa disponibile almeno per breve tempo in modo da permettere la convalida della proprietà. In alternativa, possiamo approvare il dominio se: Il dominio è registrato a nome di una filiale/consociata o altra organizzazione giuridicamente collegata. Dall'amministratore del dominio (elencato nel report "WHOIS ) viene concessa l'autorizzazione che l'organizzazione ha il controllo esclusivo del dominio. Questo può avvenire in due modi: Conferma verbale chiameremo il numero di telefono indicato nel WHOIS Conferma scritta invieremo un' all'amministratore indicato nel WHOIS (le risposte devono essere ricevute dallo stesso indirizzo a cui sono state inviate); oppure possiamo inviare la richiesta ai seguenti alias "preapprovati" nel vostro dominio admin@ administrator@ webmaster@ hostmaster@ postmaster@ Esempio: registrazione di possiamo inviare a admin@symantec.com Una "Professional Opinion Letter" (lettera di verifica di un professionista) viene inviata, firmata e autenticata da un legale abilitato o da un commercialista iscritto all'albo nello stesso paese in cui ha sede l'organizzazione. (Vedi sezione POL) Il cliente può completare la dimostrazione pratica del controllo del dominio. Questa operazione viene eseguita dal cliente che pubblica in via temporanea un codice di sicurezza (fornito dai nostri Rappresentanti dell'autenticazione) sul suo sito Web. I nostri Rappresentanti dell'autenticazione devono essere in grado di raggiungere telefonicamente il referente organizzativo chiamando un numero di telefono fornito da terzi verificato e a nome dell'organizzazione. Se il referente organizzativo o tecnico non è in grado di completare direttamente la dimostrazione pratica, può far intervenire un dipendente dell'organizzazione che sia in grado di soddisfare i requisiti della dimostrazione pratica. Il referente organizzativo o tecnico deve però restare in linea. Dopo che il nostro Rappresentante dell'autenticazione avrà confermato il codice di sicurezza e il controllo del dominio, il codice potrà essere rimosso dal sito Web. Se non è disponibile alcun WHOIS per un determinato dominio di primo livello (ad es. domini.zm), il registrante deve essere confermato direttamente dagli elenchi del Registro IANA come responsabile di quel dominio di primo livello. <<Indietro 10 Avanti>>

11 Unità organizzativa/conferma dell'esistenza operativa Nell'ambito dei requisiti di base della CA/Browser Forum per i certificati SSL, deve essere convalidata l'unità organizzativa immessa nel Certificate Signing Request (CSR) durante la registrazione. Il campo dell'unità organizzativa NON deve contenere uno o più dei seguenti elementi: Ragione sociale/denominazione legale non verificate (ad es. Corp, Ltd., ecc.) Denominazioni commerciali non verificate (ad es. "Nome commerciale ) Marchi registrati non verificati (ad es. (tm) ) Nomi di persona non verificati (Marc Smith) Nomi di dominio e indirizzi IP L'unità organizzativa può tuttavia contenere Nomi di reparti Nomi di server (a patto che non sia un nome di dominio) Parole e frasi generiche Potete lasciare vuoto il campo dell'unità organizzativa oppure immettere le informazioni delle voci consentite elencate in precedenza. Qualsiasi informazione immessa nel campo dell'unità organizzativa deve essere verificata. Se non siamo stati in grado di verificare le informazioni e queste rientrano nella sezione "non consentite", i nostri Rappresentanti dell'autenticazione devono aggiornarle o rimuoverle dalla sezione CSR prima dell'emissione del certificato. Le linee guida relative alla Extended Validation della CA Browser Forum prevedono che le organizzazioni che richiedono l'extended Validation devono innanzitutto farsi confermare la loro esistenza operativa. Symantec deve verificare che l'organizzazione in fase di registrazione abbia la capacità di svolgere un'attività commerciale. Il requisito dell'esistenza operativa viene soddisfatto se l'organizzazione è registrata ed esiste da più di 3 anni, con la conferma della risorsa utilizzata durante l'autenticazione dell'organizzazione. Se l'organizzazione è registrata da meno di 3 anni, possiamo confermarne l'esistenza operativa con le seguenti modalità: Utilizzando un report Dun & Bradstreet valido Verificando che l'organizzazione abbia un conto di deposito a vista (come un conto corrente) attraverso uno dei seguenti documenti: - Documento di un'istituzione finanziaria regolamentata che conferma la presenza di un conto di deposito a vista attivo e in corso presso l'istituzione a nome del richiedente. Questo documento/questa informazione deve essere confermata verbalmente direttamente con l'istituzione finanziaria attraverso un numero di telefono fornito da terzi prima di poter essere accettata da noi. - Una Professional Opinion Letter. <<Indietro 11 Avanti>>

12 Verifica dell'indirizzo Symantec può verificare l'indirizzo indicato sulla registrazione di un certificato in base al tipo di prodotto. Informazioni e requisiti verificati variano per tipo di prodotto, tuttavia, tutte le discrepanze devono essere corrette prima dell'emissione del certificato. Safe Site (soltanto) Questo passaggio è richiesto per i prodotti che mostrano un indirizzo nel sigillo del certificato. L'indirizzo fisico dell'organizzazione deve essere confermato tramite una delle fonti esterne sottostanti: Risorse della pubblica amministrazione utilizzate per l'autenticazione dell'organizzazione Database approvati da Symantec contenenti numeri telefonici forniti da terzi Report Dun and Bradstreet validi Report "WHOIS Conferma verbale tramite telefonata di verifica Se l'indirizzo non può essere verificato per mezzo di una delle risorse appena citate, richiederemo uno dei seguenti documenti contenenti nome e indirizzo dell'organizzazione: Estratto conto bancario o prospetto della posizione assicurativa Bolletta utenza Bolletta del telefono Extended Validation L'indirizzo nella registrazione deve essere un indirizzo fisico e non una casella postale, deve inoltre essere un indirizzo aziendale valido e verificato dell'organizzazione o della sua filiale/consociata verificata. La filiale/consociate deve essere nello stesso paese del foro competente Le consociate devono avere quote di maggioranza Questo indirizzo può essere verificato da UNA delle seguenti fonti: Risorse di enti pubblici utilizzate nel corso dell'autenticazione dell'organizzazione Un report Dun & Bradstreet valido Report globale di autenticazione e verifica Una Professional Opinion Letter Se l'indirizzo non corrisponde, al referente organizzativo può essere chiesto di fornire un indirizzo alternativo verificabile per l'organizzazione. L'ordine deve essere aggiornato in modo da rispecchiare l'indirizzo verificato. <<Indietro 12 Avanti>>

13 Conferma del numero di telefono fornito da terzi Symantec deve essere in grado di contattare l'organizzazione del cliente e di confermare che il referente organizzativo è un dipendente a tempo pieno del nome dell'organizzazione nella registrazione. Per iniziare questa procedura, il nostro team di autenticazione tenterà di ottenere un numero di telefono verificato in modo indipendente (fornito da terzi) per l'organizzazione. Conferma: il tecnico è un dipendente a tempo pieno ed è autorizzato per la registrazione dei certificati SSL Organization Validated (OV). Organization Validated e Safe Site (solo) Il numero di telefono deve essere registrato a nome dell'organizzazione (o con il nome commerciale registrato oppure con l'organizzazione giuridicamente collegata) nel paese indicato sulla richiesta di certificato. Deve essere ottenuto attraverso una risorsa esterna approvata da Symantec, come: Elenco telefonico online approvato (Pagine Gialle) Richiesta del numero di abbonato Risorse della pubblica amministrazione utilizzate per autenticare l'organizzazione Report Dun & Bradstreet Se non riuscissimo a ottenere un numero di telefono valido fornito da terzi per l'organizzazione, invieremo al referente organizzativo un messaggio con le seguenti alternative: Una "Professional Opinion Letter per SSL" firmata e autenticata da un legale abilitato o da un commercialista iscritto all'albo nello stesso paese in cui ha sede l'organizzazione può essere utilizzata per fornire un numero di telefono idoneo Una bolletta del telefono a nome dell'organizzazione che includa l'indirizzo di fatturazione e il numero di telefono fatturato. Symantec dovrà quindi confermare verbalmente le informazioni alla compagnia telefonica emittente, usando un numero di telefono fornito da terzi per la compagnia telefonica. Bolletta utenza certificata, dichiarazione di un istituto finanziario, contratto di leasing o bolletta telefonica a nome dell'organizzazione che contenga l'indirizzo di fatturazione e il numero di telefono fatturato. Questi documenti devono essere certificati e autenticati da uno dei seguenti professionisti nella giurisdizione dei clienti. Notaio Funzionari del governo Avvocati abilitati all'esercizio della professione Commercialista iscritto all'albo Il professionista che completa la lettera sarà verificato (con l'ordine degli avvocati/ordine dei commercialisti/ordine dei notai/enti pubblici registrati) nel foro competente. Se non siamo in grado di verificare il professionista, non possiamo accettare una lettera firmata da questa persona. Nota: non possiamo accettare le fatture emesse da società con servizio di centralina virtuale/servizi di trasferimento di chiamata, servizi Voice over IP (VOIP) che non indicano i numeri di telefono nelle loro fatture il nostro team di autenticazione tenterà di ottenere un numero di telefono verificato in modo indipendente (fornito da terzi) per l'organizzazione. <<Indietro 13 Avanti>>

14 Conferma del numero di telefono fornito da terzi Safe Site e firma del codice per organizzazioni (soltanto) La procedura di Safe Site e firma del codice per le organizzazioni volta ad ottenere un numero di telefono fornito da terzi è la stessa del certificato Organization Validated, tuttavia c'è un'ulteriore alternativa: Una lettera firmata dal referente organizzativo e autenticata da un notaio. Questa lettera deve essere autenticata da un notaio o figura equivalente nel foro competente del richiedente o in qualsiasi giurisdizione dove il richiedente ha un ufficio o una sede operativa confermati. Il notaio o figura equivalente deve includere le proprie informazioni di certificazione poiché verificheremo il suo stato di attività. Una lettera autenticata da notaio accettabile sostituirà la telefonata di verifica finale. Firma del codice per privati Verrà inviato al richiedente un modulo di identificazione per la convalida con la richiesta di una copia del passaporto in corso di validità e una conferma del numero di telefono. Se non è disponibile un passaporto, saranno accettati due moduli di identificazione validi: Documento d'identità emesso dallo stato con il nome completo e una fotografia: Patente di guida Carta d'identità nazionale o statale Carta d'identità militare Questo modulo di identificazione deve essere autenticato da un notaio o figura equivalente nel foro competente del richiedente o in qualsiasi giurisdizione dove il richiedente ha un ufficio o una sede operativa confermati. Extended Validation Per ottenere o confermare un numero di telefono per un ordine di Extended Validation, il numero di telefono deve essere registrato a nome dell'organizzazione (o con il nome commerciale registrato oppure con l'organizzazione giuridicamente collegata) e deve includere l'intero indirizzo aziendale verificato. Deve essere ottenuto attraverso una risorsa esterna approvata da Symantec, come: Elenco telefonico online approvato (Pagine Gialle) Richiesta del numero di abbonato Risorse della pubblica amministrazione utilizzate per autenticare l'organizzazione Report Dun & Bradstreet Se non riuscissimo a ottenere un numero di telefono valido fornito da terzi per l'organizzazione, invieremo al referente organizzativo un messaggio con la seguente alternativa: Una "Professional Opinion Letter per EV" (lettera di verifica di un professionista) firmata e autenticata da un legale abilitato o da un commercialista iscritto all'albo nello stesso paese in cui ha sede l'organizzazione può essere utilizzata per fornire un numero di telefono idoneo. Documento d'identità secondario con il nome completo: Tessera sanitaria Badge aziendale Bolletta utenza Tessera della previdenza sociale Documento per comprovare l'età (Proof of Age Card) Tessera studentesca <<Indietro 14 Avanti>>

15 Requisiti del referente Symantec verifica i recapiti indicati nella registrazione di un certificato. Informazioni e requisiti verificati variano per tipo di prodotto, tuttavia, tutte le discrepanze devono essere corrette prima dell'emissione del certificato. Accertatevi che i vostri clienti siano consapevoli della registrazione del certificato e che rispondano a tutti i tentativi di contatto in modo tempestivo, in caso contrario l'emissione del certificato potrebbe essere ritardata. Regole generali (Tutti i referenti) Referente organizzativo Referente tecnico Requisiti del referente È consentito un indirizzo gratuito? (ad es. yahoo, gmail, hotmail, ecc.) È consentita una discordanza tra indirizzo personale e nome del referente? (ad es. Jill Smith John_doe@ .com) È consentita una casella postale nel campo dell'indirizzo? Il referente organizzativo deve essere un dipendente dell'organizzazione che effettua la registrazione? Il referente organizzativo può essere indicato con la sua qualifica o lo pseudonimo? (ad es. Amministratore di rete, Reparto IT) Il referente tecnico deve essere un dipendente dell'organizzazione che effettua la registrazione? Il referente organizzativo può essere indicato con la sua qualifica o lo pseudonimo? (ad es. Amministratore di rete, Reparto IT) Organization Validated Sì (non preferito) Firma del codice Domain Validated Extended Validation Symantec Safe Site No Sì No Sì No No No No No Sì Sì Sì No Sì Sì Sì Sì Sì Sì Sì No Sì No No No Sì No No No Sì No Sì No Sì Nota importante: i dati relativi al referente per la fatturazione sono precompilati in base all'account del Centro partner e non richiedono un'ulteriore autenticazione. <<Indietro 15 Avanti>>

16 Occupazione e autorità del referente organizzativo per EV Nel caso dei certificati Extended Validation, Symantec deve essere in grado di contattare la vostra organizzazione e confermare che il referente organizzativo che inoltra la domanda per ottenere il certificato sia un dipendente dell'organizzazione indicata nell'ordine. Questa persona deve inoltre avere l'autorità per acquistare il certificato a nome dell'organizzazione. Conferma dell'occupazione del referente organizzativo L'occupazione del referente organizzativo può essere confermata in diversi modi: Se il referente organizzativo è indicato come funzionario o dirigente dell'organizzazione nei seguenti documenti: La registrazione dell'attività utilizzata durante l'autenticazione dell'organizzazione Un report Dun & Bradstreet valido Il report globale di autenticazione e verifica La conferma dell'ufficio del personale dell'organizzazione Symantec si metterà in contatto utilizzando il numero di telefono fornito da terzi (consultare la sezione Conferma del numero di telefono fornito da terzi ) Professional Opinion Letter Conferma dell'autorità del referente organizzativo Per autorità si intende che il referente organizzativo è autorizzato ad acquistare il certificato EV per conto dell'organizzazione. L'autorità può essere stabilita in diversi modi: L'autorità è confermata se il referente organizzativo è indicato come funzionario o dirigente dell'organizzazione nei seguenti documenti: La registrazione dell'attività utilizzata durante l'autenticazione dell'organizzazione Un report Dun & Bradstreet valido Il report globale di autenticazione e verifica L'autorità del referente organizzativo è confermata se la qualifica del referente organizzativo è confermata dall'ufficio del personale come quella di una persona con "presunta autorità" La presunta autorità è rappresentata da una persona con la qualifica di direttore o con qualifica più alta nella gerarchia aziendale (vicepresidente, funzionario, amministratore delegato, responsabile del settore informatico, ecc.) L'autorità viene inoltre confermata attraverso un Contratto di conferma. Se il referente organizzativo non è una persona con "presunta autorità", la conferma dell'autorità può essere avvalorata da una persona con "presunta autorità" o dall'individuo che l'ufficio del personale conferma essere il responsabile diretto del referente organizzativo. <<Indietro 16 Avanti>>

17 Telefonata di ver i f i c a/contratto di conferma L ultimo passaggio della procedura di convalida è la telefonata o l di verifica. Symantec utilizza il numero di telefono precedentemente ottenuto da terzi per mettersi in contatto con il referente organizzativo o tecnico (se dipendente dell organizzazione) e verificare i dettagli della registrazione. In alcuni casi, possiamo emettere il certificato senza parlare direttamente con il referente organizzativo o tecnico, mentre in altri è necessario un contatto diretto. Consultare la matrice sottostante per comprendere i metodi di verifica accettabili per tipo di prodotto/categoria. Categoria/Nome prodotto Telefonata di verifica con referente organizzativo Telefonata di verifica con referente tecnico Virifica tramite con conferma Conferma con segreteria telefonica personale Verifica non richiesta Domain Validation ** Organization Validated * * Extended Validation Firma del codice per organizzazioni Firma del codice per privati Safe Site per organizzazioni Safe Site per privati *Utilizzabile soltanto se i dati sull occupazione e i recapiti sono stati confermati; **Obbligatorio per le grandi società di capitali, le istituzioni finanziarie e i marchi molto noti Dopo aver completato la registrazione, il referente organizzativo nella registrazione del certificato deve compilare l'extended Validation Subscriber Agreement (Contratto di abbonamento a Extended Validation, noto anche con il nome di Acknowledgement Agreement, Contratto di conferma). Questa operazione può essere effettuata online oppure firmando il modulo e restituendolo a noi tramite fax o . Modulo del Contratto di conferma Il referente organizzativo nella registrazione del certificato riceverà una copia del modulo del Contratto di conferma tramite . Il modulo del Contratto di conferma ha due sezioni distinte, una obbligatoria e una facoltativa. Contenuto obbligatorio: Numero ordine: <Numero ordine> Il sottoscritto, <referente organizzativo>, ha letto e conferma di accettare, a nome di <nome dell'organizzazione, il Contratto di abbonamento al Certificato SSL Symantec versione 6.0, che include tutti i termini e condizioni dell''extended Validation, una copia dei quali è disponibile all'indirizzo policies/repository.jsp?tab=tab2#stn-cps. Nel richiedere questo certificato Extended Validation e accettare questo contratto a nome della sua organizzazione, il sottoscritto conferma che <nome dell'organizzazione> (Richiedente) stipula un Contratto di abbonamento giuridicamente vincolante che impone ampi obblighi al Richiedente. Il sottoscritto è informato e riconosce che un certificato EV è una forma di identità digitale per il Richiedente e che la perdita o l'uso improprio di tale identità può comportare gravi danni al Richiedente. Firmando questo Contratto di abbonamento, il sottoscritto dichiara di avere l'autorità per ottenere l'equivalente digitale di un timbro aziendale, o (se applicabile) della firma di un funzionario per stabilire l'autenticità del sito Web dell'azienda e che il Richiedente è responsabile per tutti gli usi del certificato EV dell'azienda. Firmando questo Contratto a nome del Richiedente, il sottoscritto dichiara inoltre (i) di fungere da rappresentante autorizzato del Richiedente. (ii) di essere espressamente autorizzato dal Richiedente a firmare Contratti di abbonamento e di approvare richieste di certificati EV a nome del Richiedente e di (iii) aver confermato il diritto esclusivo del Richiedente a utilizzare il dominio/i domini da includere nei certificati EV. Nome completo del referente organizzativo: <Referente organizzativo> Firma: Qualifica: Data: Luogo della firma (ad es. città, stato): Ilmodulo deve essere compilato con i campi variabili (referente organizzativo e organizzazione) corrispondenti a quanto riportato nella registrazione e il resto del modulo non può essere modificato in alcun modo. Nota importante: è indispensabile che il Contratto di conferma sia firmato soltanto dal referente organizzativo, altrimenti è nullo e non possiamo accettarlo. <<Indietro 17 Avanti>>

18 Contratto di conferma Contenuto facoltativo: Altre informazioni sul referente organizzativo (facoltativo) Per semplificare l'elaborazione dell'ordine, consigliamo di fornire a Symantec le informazioni supplementari sottostanti sul referente. Consigliamo inoltre di informare queste persone che saranno contattate da Symantec per verificare determinati dettagli sul vostro ordine per un certificato Extended Validation. Referente presso l'ufficio del personale. Symantec può rivolgersi a questa persona per verificare la vostra occupazione e qualifica. Nome Telefono Interno Il referente dell'ufficio del personale sarà contattato per completare la verifica del dipendente. Per evitare ritardi, si consiglia di informare il referente dell'ufficio del personale della nostra intenzione di contattarlo. Non è richiesto un nuovo modulo del Contratto di conferma per ogni registrazione se il referente organizzativo e il referente tecnico restano invariati. Contratto di conferma online Tutti e tre i marchi SSL del programma partner Symantec per la sicurezza dei siti Web che offrono certificati Extended Validation dispongono anche di un metodo online per la compilazione del Contratto di conferma. Durante la verifica finale dell'ordine, la Conferma online può essere compilata secondo i seguenti passaggi: 1. Un Rappresentante dell'autenticazione Symantec fornirà un collegamento personalizzato tramite all'indirizzo verificato del referente organizzativo (l' deve essere verificata direttamente dal referente durante la verifica finale o tramite l'ufficio del personale). 2. Il Rappresentante dell'autenticazione Symantec fornirà inoltre al referente organizzativo un codice di sicurezza a voce per telefono. 3. Il referente organizzativo farà quindi clic sul collegamento per riesaminare il contratto. La procedura sarà completa all'accettazione dei termini e quando sarà andato a buon fine l'invio del codice di sicurezza fornito in precedenza. Non è richiesto un nuovo modulo del Contratto di conferma per ogni registrazione se il referente organizzativo e il referente tecnico restano invariati. <<Indietro 18 Avanti>>

19 Certificati Domain Validated I certificati SSL Domain-Validated (DV) forniscono la crittografia con autenticazione limitata al dominio. Questi certificati non prevedono l'autenticazione dell'identità dell'azienda, ma convalidano l'affiliazione del richiedente all'utilizzo del dominio prima che Symantec possa accettarlo. L'autenticazione dei prodotti Domain Validated fornisce conferma di registrazione del nome del dominio indicato nella richiesta di certificato e indica che l'approvatore del dominio controlla il dominio. All'atto della registrazione nel Centro partner, un' con la richiesta di approvazione (denominata anche di approvazione o "Approver ) viene inviata all'indirizzo selezionato durante la procedura di registrazione. Le opzioni di indirizzo fornite durante la procedura di registrazione includono: Qualsiasi indirizzo indicato nel documento di registrazione del dominio pubblico (report WHOIS ), oppure Qualsiasi alias di posta elettronica predeterminato riportato di seguito (spesso utilizzato dagli amministratori di dominio) unito al dominioriportato nella registrazione del certificato. - admin@ - administrator@ - hostmaster@ - webmaster@ - postmaster@ Esempio: se il Common Name (Nome Comune) del certificato è un indirizzo di approvazione valido sarebbe "admin@abc.com" Dopo aver ricevuto l'"approver ", il destinatario del messaggio deve fare clic sul collegamento fornito per approvare o respingere la richiesta. Questa procedura conferma che il responsabile dell'approvazione è affiliato al proprietario del dominio. In qualità di partner per la sicurezza dei siti Web, avete la capacità di inviare di nuovo l' Approver , oppure di cambiare l'indirizzo di approvazione (con uno degli alias consentiti elencati in precedenza) nel vostro Centro partner. Consultare le nostre Soluzioni di Knowledge Base per ottenere istruzioni specifiche. Nota importante: se viene fatta una richiesta di certificato Domain Validated per una grande società di capitali, un marchio molto noto o QUALSIASI istituzione finanziaria, il referente organizzativo DEVE essere un dipendente dell'azienda. Inoltre, Symantec deve portare a termine una telefonata di verifica con il referente organizzativo mediante un numero di telefono fornito da terzi. (ad es. un ordine per deve contenere l'indicazione di un dipendente di Visa come referente organizzativo; inoltre deve essere condotta una verifica completa con quel referente) <<Indietro 19 Avanti>>

20 Symantec Safe Site Symantec Safe Site verifica l'identità e conferma che il sito ha superato una scansione quotidiana antimalware esponendo il sigillo Norton Secured. Symantec Safe Site può essere acquistato per organizzazioni o privati, tuttavia non fornisce la crittografia SSL. Symantec Safe Site per organizzazioni I passaggi per l'autenticazione da usare come riferimento per Symantec Safe Site per organizzazioni sono disponibili nella Matrice dei prodotti per l'autenticazione. I passaggi per l'autenticazione da usare come riferimento includono: Elenchi di interdizione alle esportazioni del governo degli Stati Uniti Autenticazione dell'organizzazione Autenticazione del dominio Revisione dell'unità organizzativa Verifica dell'indirizzo aziendale Conferma del numero di telefono fornito da terzi Verifica del referente Symantec Safe Site per privati Gli ordini Symantec Safe Site a nome di privati saranno sottoposti a una procedura di convalida automatica con Equifax al momento della registrazione. Al richiedente sarà rivolta una serie di domande per convalidare la sua identità. Se il richiedente supera la convalida, l'ordine passerà alla fase di autenticazione del dominio. Se non è possibile convalidare il richiedente, il privato dovrà compilare e restituire un modulo per la Conferma autenticata da un notaio (Privati) che verrà archiviato e resta valido per 25 mesi. Il modulo deve comprendere una fotocopia di un documento d'identità corredato di fotografia emesso dallo stato e nello stesso paese indicato nella registrazione. Se il documento d'identità non contiene un indirizzo, questo deve essere scritto a mano sul modulo. Nota: le società semplici in Austria, Germania e Svizzera non devono compilare il modulo per la Conferma autenticata da un notaio (Privati) se viene fornita una documentazione valida a riprova della registrazione dell'attività Dopo che la convalida individuale sarà completata, l'ordine viene sottoposto all'autenticazione del dominio. Nel caso di Symantec Safe Site per Privati, il registrante (il proprietario del dominio) deve avere lo stesso nome individuale che compare sulla registrazione quando viene visualizzato un report WHOIS. Nota importante: se il dominio viene registrato per una persona diversa dal singolo individuo che registra il certificato, la registrazione del dominio deve essere aggiornata, non esistono metodi alternativi di approvazione del dominio per questo tipo di ordine. <<Indietro 20 Avanti>>