Manuale Operativo Servizio CedacriCert

Transcript

1 Manuale Operativo Servizio CedacriCert Codice documento: IA00G Stato del documento: Pubblicato Data emissione: 04/11/2013 Ente emittente: SICU Cedacri S.p.A. Sede legale: Via del Conventino n Collecchio (Parma) C.F./Partita IVA e Iscrizione al Registro delle Imprese di Parma: R.E.A.: Capitale Sociale: i.v.

2 Responsabile documento Michele Rivieri Redazione: Michele Rivieri Emissione*: SICU 04/11/2013 Data* Approvazione: SERV 05/11/2013 Codice Documento*: IA00G Data Stato Documento*: Pubblicato Distribuzione: Pubblica Data Emissione Prima Versione: 27/07/2001 Data di Stampa: 10/01/2014 LEGENDA Il redattore non deve compilare i campi contrassegnati con asterisco * in quanto le informazioni relative vengono aggiornate automaticamente in sede di stampa sulla base di quanto indicato nel frontespizio del documento. Per aggiornare a video tali campi, fare clic col pulsante destro del mouse e dal menù contestuale selezionare aggiorna campo. Per aggiornare a video ogni pagina con la corretta intestazione, fare doppio clic sull intestazione stessa, selezionare col pulsante destro del mouse i campi del codice, data emissione e titolo, quindi scegliere dal menù contestuale aggiorna campo. Gli altri campi, anche se non pertinenti, vanno compilati almeno con un carattere <spazio>. Distribuzione La distribuzione è un campo da compilare manualmente e può assumere i valori: Pubblica, se il documento può circolare senza restrizioni, sia internamente che esternamente; Riservata, se il documento è distribuibile solo agli Utenti Cedacri o all'interno di un Gruppo di Progetto (specificare il Gruppo di progetto); Confidenziale, se il documento è distribuibile internamente a livello personale (specificare le persone) Utente, se il documento è destinato all'organizzazione del Cliente <altro>, da specificare. Pag. 2 di 38

3 Storia delle modifiche apportate Modifiche Apportate dalla Versione <001> alla Versione <002> Modificato paragrafo Modifiche Apportate dalla Versione <002> alla Versione <003> Modificato paragrafo 2.4. Modificato paragrafo Modifiche Apportate dalla Versione <003> alla Versione <004> Modificato paragrafo 2.6 Modificato paragrafo 2.7 Modificato paragrafo 4.2 Modifiche Apportate dalla Versione <004> alla Versione <005> Modificata durata validità certificato Titolare da 12 mesi a 730 giorni Modifiche Apportate dalla Versione <005> alla Versione <006> Modificato denominazione Societaria e inserito come configurazione di Tool-kit il supporto USB-token Modifiche Apportate dalla Versione <006> alla Versione <007> Modificata e/o integrata denominazione del termine certificato in certificato qualificato come da normativa vigente. Modificata e/o integrata denominazione del termine Certificatore in Certificatore accreditato come da normativa vigente. Sostituzione del termine AIPA con il nuovo termine CNIPA. Modifiche Apportate dalla Versione <007> alla Versione <008> Eliminati riferimenti normative obsolete Modifiche Apportate dalla Versione <008> alla Versione <009> Aggiornati riferimenti normativi Aggiornate modalità operative rilascio certificati qualificati Pag. 3 di 38

4 Modifiche Apportate dalla Versione <009> alla Versione <010> Aggiornate modalità di richiesta revoca da parte del Titolare Aggiornati i responsabili del documento Modifiche Apportate dalla Versione <010> alla Versione <011> Modificato paragrafo 4.8 Modificato paragrafo 5.2 Modificato paragrafo 6.1 Modificato capitolo 7 Modifiche Apportate dalla Versione <011> alla Versione <012> Modificato paragrafo Modifica di durata del certificato che è stata portata a 36 Mesi Aggiornati i responsabili del servizio Aggiornati i riferimenti normativi Modifica paragrafi Allegato 1 Pag. 4 di 38

5 SOMMARIO 1. INTRODUZIONE Scopo PRINCIPALI RIFERIMENTI NORMATIVI GLOSSARIO Acronimi ed abbreviazioni Definizioni PARTE I: INFORMAZIONI DI CARATTERE GENERALE Dati identificativi del Certificatore Accreditato Responsabile del manuale Operativo Applicabilità Certificati Qualificati Prerequisiti alla richiesta di Certificato Qualificato Prerequisiti all utilizzo dei Certificati qualificati Servizio di Call Center Servizio di Help Desk Tabella disponibilità livelli del servizio Errore. Il segnalibro non è definito Tariffe Polizza assicurativa Indirizzo del Certificatore Accreditato PARTE II: SERVIZIO DI CERTIFICAZIONE Obblighi e responsabilità dei soggetti coinvolti Certificatore Accreditato Ente di registrazione Titolare Utente utilizzatore PARTE III: MODALITÀ OPERATIVE Identificazione del Richiedente Informazioni Indispensabili per il rilascio del certificato Utilizzo di pseudonimo Limiti d uso e di valore Inserimento del Ruolo e dell Organizzazione Registrazione del Richiedente Rilascio del Certificato Chiavi generate su smart card o token Chiavi generate su HSM destinate all utilizzo per la sottoscrizione automatica Revoca Certificato Revoca Certificato su richiesta del Titolare Revoca Certificato su iniziativa del Certificatore Accreditato 27 Pag. 5 di 38

6 4.5.3 Revoca su iniziativa del Terzo interessato Lista dei Certificati revocati CRL Sospensione Lista dei Certificati sospesi CSL Rinnovo e sostituzione del certificato e delle chiavi di certificazione Rinnovo del certificato del Titolare Sostituzione delle chiavi di certificazione del Certificatore Accreditato Modalità operative per la verifica e l apposizione della firma digitale MARCA TEMPORALE Marcatura temporale dei Certificati e delle CRL/CSL Servizio di marcatura Temporale REGISTRO DEI CERTIFICATI Gestione del registro dei Certificati Modalità di accesso al registro dei Certificati GIORNALE DI CONTROLLO GESTIONE Riservatezza Sicurezza Emergenze ALLEGATO Tool-kit Emissione certificato su dispositivo proprietario ALLEGATO QUADRO DI RACCORDO DEL MANUALE OPERATIVO CON L ART. 36, COMMA 3, DPCM 22/02/ INTRODUZIONE 1.1. SCOPO Il presente documento è il Manuale Operativo di Cedacri S.p.A.- Servizio Cedacricert relativo all emissione e gestione dei certificati per chiavi di sottoscrizione, nonché le procedure per la fornitura del servizio di validazione temporale se richiesto dagli utenti, in conformità con la vigente normativa in materia di firma digitale. Pag. 6 di 38

7 Il Manuale Operativo, o Certification Practice Statement (CPS) secondo la letteratura tecnica internazionale, costituisce l insieme delle regole e delle procedure con i relativi metodi di applicazione, cui Cedacri S.p.A. Servizio Cedacricert, si attiene nell esercizio della funzione di Certificatore e quindi nell attività di Certificazione di chiavi pubbliche. In generale la firma digitale permette ad un titolare di manifestare l autenticità e l integrità di un documento informatico attraverso l impiego di una coppia di chiavi asimmetriche (una pubblica ed una privata) in modo che chiunque venga in possesso di tale documento possa sempre verificarne la piena validità. Si ricorda infine che Cedacri S.p.A. è iscritta nell elenco tenuto da ACBI dei Certificatori che intendono stipulare con le Banche il servizio di Certificazione. Il contenuto del presente manuale, è proprietà intellettuale di Cedacri S.p.A PRINCIPALI RIFERIMENTI NORMATIVI [1] [2] [3] [4] [5] [6] D.P.R. 28/12/2000 n.445 (G.U. n.42 del 20/2/ Testo Unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa c.d. Testo Unico ) e sue modificazioni secondo DPR 137/2003 D.P.C.M. del 22 Febbraio 2013 (G.U. n.117 del ) Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36,comma 2, e 71. Circolare CNIPA n.48 del 06/09/2005, recante le modalità per presentare domanda di iscrizione nel registro pubblico dei Certificatori Deliberazione 21 Maggio 2009, delibera CNIPA n.45/2009, Regole per il riconoscimento e la verifica del documento informatico D.P.C.M. 30 marzo 2009, Fissazione del termine che autorizza l autocertificazione circa la rispondenza dei dispositivi automatici di firma ai requisiti di sicurezza (G.U. n.98 del 28 Aprile 2010) Circolare CNIPA 15 febbraio 2007, n. 52 Svolgimento delle funzioni di vigilanza e controllo sull attività dei certificatori qualificati e accreditati di cui all articolo 31 del decreto legislativo 7 marzo 2005, n. 82, Codice della amministrazione digitale.(g.u. 23 febbraio 2007, n. 45) [7] [8] Dlgs. 235/10, del 30 Dicembre 2010 Codice dell Amministrazione Digitale CIRCOLARE 19 giugno 2000 n. AIPA/CR/2 Pag. 7 di 38

8 Riferimenti tecnici [9] [10] [11] [12] [13] Deliverable ETSI TS Policy requirements for time-stamping authorities - Aprile 2002 RFC 5280 (2008): "Internet X.509 Public Key Infrastructure Certificate and CRL Profile RFC 3161 (2001): Internet X.509 Public Key Infrastructure Time Stamp Protocol (TSP) RFC 2527 (1999): Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework ETSI TS V1.3.2 (Marzo 2004) ( Qualified Certificate profile ) 1.3. GLOSSARIO Acronimi ed abbreviazioni Di seguito sono elencate le abbreviazioni e gli acronimi utilizzati per la stesura del presente documento. Dove opportuno, sarà utilizzato anche il corrispondente termine inglese, generalmente più usato e conosciuto nel linguaggio comune. ACBI AgID CA Associazione per il Corporate Banking Interbancario Agenzia per l Italia Digitale Certification authority - Autorità di Certificazione - Certificatore Pag. 8 di 38

9 CDP CNIPA CPS CRL CRL distribution point - Punto di distribuzione delle CRL Centro Nazionale per l Informatica nella Pubblica Amministrazione (ex AIPA) Certification Practice Statement - Manuale Operativo Certificate Revocation List - Lista dei Certificati revocati CSL DB D.I.T. DN DPCM DPR DS ETSI HSM HTTP HTTPS IETF ISO Certificate Suspension List - Lista dei Certificati sospesi Data Base - Raccolta di dati Dipartimento Innovazioni Tecnologiche Distinguished Name - Stringa formattata estesa dei dati anagrafici del Titolare Decreto del Presidente del Consiglio dei Ministri Decreto del Presidente della Repubblica Directory Server - Registro Certificati European Telecommunications Standards Institute Hardware Security Module HyperText Transfer Protocol - Protocollo di trasmissione per reti Internet Secure HyperText Transfer Protocol - Protocollo sicuro di trasmissione per reti Internet Internet Engineering Task Force - Comitato tecnico ingegneria Internet International Organization for Standardization - Organizzazione internazionale per gli standard ITU International Telecommunication Union - Unione internazionale delle telecomunicazioni LDAP OID OTP PDF Lightweight Directory Access Protocol Protocollo di accesso ai dati del DS Object Identifier - Identificativo oggetto One Time Password Portable Document Format Formato per file di testo Pag. 9 di 38

10 PKCS PKCS#10 PKI P.I.N. P.U.K. RA RFC SN SSL UID Public Key Cryptography Standard Standard crittografico a chiave pubblica Standard di descrizione della sintassi per la richiesta di un Certificato Public Key Infrastructure Infrastruttura hardware/software per Certificazione Personal Identification Number - Numero identificativo personale Personal Unbloking Key Codice di sblocco personale Registration authority - Autorità di registrazione Ente di registrazione Request for Comments (Formal document from the IETF) - Documento formale di specifiche emesso dall IETF Serial Number Numero seriale Secure Sockets Layer Protocollo di protezione trasmissioni Unique identification number - Identificativo univoco Definizioni Browser: programma residente su PC che utilizza il protocollo HTTP per fare richieste ai server Web sparsi nella rete Internet. Certificato digitale, Certificato, Certificato x509: attestato di corrispondenza tra una Chiave pubblica e il soggetto Titolare cui essa appartiene, in associazione ad una Chiave privata appartenente solo al Titolare medesimo. Certificato qualificato: il certificato elettronico conforme ai requisiti di cui all'allegato I della direttiva 1999/93/CE, rilasciati da certificatori che rispondono ai requisiti di cui all'allegato II della medesima direttiva; vedi [15] Certificatore o Certification Authority: il soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi con queste ultime. Certificatore Accreditato: Certificatore iscritto all albo dell Agenzia per l Italia Digitale. Certificazione: è il risultato della procedura informatica, applicata alla Chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra la Chiave pubblica ed il soggetto Titolare cui essa appartiene, si identifica quest ultimo e si attesta il periodo di Pag. 10 di 38

11 validità della predetta chiave ed il termine di scadenza del relativo Certificato, in ogni caso non superiore ai tre anni. Chiave privata: elemento della coppia di chiavi asimmetriche, di esclusivo possesso del soggetto Titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente Chiave pubblica. Chiave pubblica: elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal Titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al Titolare delle predette chiavi. Chiavi asimmetriche: coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici. Dispositivo di firma: supporto elettronico programmabile solo all'origine, utilizzato dal Titolare, sul quale viene generata la coppia di chiavi asimmetriche, quella pubblica e quella privata, munito di un P.I.N.. Documento informatico: è la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. Download: è la trasmissione di un file da un computer ad un altro. Ente di registrazione o Registration Authority: entità che si occupa delle procedure di identificazione/registrazione dell'utente e trasmette i dati di competenza al Certificatore tramite un canale sicuro. L Ente di registrazione è tenuta ad identificare con certezza gli utenti che desiderino essere Certificati. Il ruolo di Ente di registrazione è svolto da soggetti esplicitamente autorizzati dal Certificatore. Firma digitale: il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la Chiave privata e al destinatario tramite la Chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici. Firma Remota: Un servizio di firma digitale nel quale le chiavi private dei titolari sono conservate dal Certificatore su particolari dispositivi sicuri (Hardware Security Module) garantendo comunque al titolare che solo lui possa attivarne l uso attraverso l utilizzo di codici riservati solo da lui conosciuti e posseduti. Giornale di Controllo: insieme delle registrazioni effettuate automaticamente o manualmente dai dispositivi istallati presso il Certificatore. Hardware Security Module : dispositivi hardware sicuri dedicati alla gestione delle chiavi crittografiche e particolarmente utilizzati nei servizi di firma remota. Pag. 11 di 38

12 Logon: procedura di accesso ad un sistema operativo o ad un applicazione. Manuale Operativo: documento che definisce le procedure applicate dal Certificatore nello svolgimento della propria attività. Marca Temporale: evidenza informatica che consente la validazione temporale. One Time Password : dispositivo (già utilizzato dai correntisti per operare sui servizi di internet Banking) che garantisce un autenticazione forte del titolare al sistema di firma remota, Passphrase: stringa di caratteri, generalmente più lunga della normale Password. Password: stringa di caratteri senza spazi, utilizzata nelle procedure di accesso ai PC in associazione con lo Userid. Public Key Cryptography standards: set di standard per la crittografia a Chiave pubblica sviluppati dai laboratori RSA e compatibili con lo standard ITU-T X.509. Richiedente: soggetto che richiede il rilascio del Certificato. Shared Secret: segreto condiviso Informazione conosciuta solo dal Richiedente e dal Certificatore per validazione dell identità del Richiedente Smart-card: tessera, di formato simile al Bancomat, dotata di microchip (apparato elettronico incorporato), programmabile solo all origine, in grado di contenere informazioni in modo sicuro. Terzo interessato: soggetto il cui consenso è necessario ai fini della specificazione della sussistenza dei poteri di rappresentanza o di altri titoli relativi all attività professionale o a cariche rivestite del richiedente il rilascio di Certificato digitale. Titolare: soggetto al quale, previa identificazione da parte dell Ente di registrazione, sono rilasciati i Certificati digitali dal Certificatore.Il Titolare del certificato digitale è sempre una persona fisica. Token: chiavetta dotata di microchip con software con caratteristiche del tutto simili alla Smart-card. Tool-kit: set di strumenti hardware e software per l utilizzo dei Certificati digitali. Userid: codice identificativo utente. Pag. 12 di 38

13 Utenti utilizzatori: coloro che accedono agli archivi mantenuti dal Certificatore per richiedere e verificare Certificati digitali. Possono essere sia Titolari Certificati da questo o altro Certificatore, sia utenti non Certificati. Validazione temporale: il risultato della procedura informatica con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi. World Wide Web: spesso abbreviato in WWW o Web, tecnicamente viene definito come l insieme delle risorse e degli utenti che utilizzano il protocollo http per lo scambio di informazioni sulla rete Internet. Pag. 13 di 38

14 2. PARTE I: INFORMAZIONI DI CARATTERE GENERALE Il presente documento è la versione n.12 rilasciata il 05/11/2013 del Manuale Operativo relativo all emissione e gestione dei certificati per chiavi di sottoscrizione da parte di Cedacri S.p.A. Servizio Cedacricert. Questo documento verrà verificato ed eventulamente aggiornato, se necessario, con frequenza annuale. Il presente documento è reperibile : presso il sito del Servizio Cedacricert di Cedacri S.p.A. all indirizzo: alla pagina dedicata ai servizi di firma digitale del sito internet di Agenzia per l Italia Digitale E conforme ai requisiti contenuti al riferimento [2] 2.1. DATI IDENTIFICATIVI DEL CERTIFICATORE ACCREDITATO Ragione Sociale Cedacri S.p.A. Sede legale Via del Conventino, Collecchio (Parma) Legale Rappresentante nato a funzione Sergio Capatti Ferrara, 14 settembre 1947 Presidente N. Iscrizione alla CCIA di Parma Partita IVA Codice ABI UNINFO Object Identifier (OID) ISO-OID P.E.N N telefonico (centralino) N di Fax Pag. 14 di 38

15 Indirizzo Internet Indirizzo di posta elettronica RESPONSABILE DEL MANUALE OPERATIVO Il responsabile del presente manuale è Nome Cognome Michele Rivieri Telefono Fax APPLICABILITÀ CERTIFICATI QUALIFICATI Il Certificato qualificato può essere utilizzato per apporre o associare la firma ad un documento in formato elettronico. Attraverso le informazioni contenute nel certificato l utilizzatore può risalire con certezza al certificatore che lo ha emesso e conoscere al contempo il suo periodo di validità. I certificati emessi dal Certificatore Cedacri sono conformi a quanto indicato nella deliberazione CNIPA n.45 rif.[4] e sono pertanto interoperabili con i servizi di firma digitale forniti da tutti i certificatori accreditati PREREQUISITI ALLA RICHIESTA DI CERTIFICATO QUALIFICATO Coloro che desiderano fare richiesta di Certificato qualificato devono recarsi presso la sede Cedacri di Collecchio, o presso uno degli Enti di registrazione, muniti di un documento d identità in corso di validità. Si ricorda che sono considerati documenti d identità validi il passaporto, la carta d identità e gli altri documenti equipollenti per legge. Inoltre, dovranno essere in possesso di una casella di posta elettronica personale PREREQUISITI ALL UTILIZZO DEI CERTIFICATI QUALIFICATI Il soggetto che desidera ottenere il proprio Certificato qualificato dovrà presentarsi presso la sede Cedacri di Collecchio o presso uno degli Enti di registrazione, per effettuare il processo di registrazione degli utenti descritto nel successivo paragrafo Modalità Operative. Se il soggetto non è già in possesso di un Dispositivo di firma, compatibile con il sistema del Certificatore Accreditato, potrà richiederlo a Cedacri all atto della firma del contratto. Pag. 15 di 38

16 L elenco dei dispositivi di firma rispondenti ai requisiti stabiliti nella normativa vigente, è disponibile sul sito del Certificatore Accreditato all indirizzo e viene costantemente mantenuto aggiornato SERVIZIO DI CALL CENTER E attivo un servizio di Call Center indirizzato all utenza del servizio per qualsiasi tipo di informazione riguardo le procedure descritte nel presente manuale, per la revoca e la sospensione dei Certificati. Il servizio è attivo tutti i giorni, festivi compresi, con orario continuativo nelle 24 ore, al numero Pag. 16 di 38

17 2.7. SERVIZIO DI HELP DESK E attivo un servizio di Help Desk indirizzato al Call Center e agli Enti di Registrazione. Il servizio è disponibile dal lunedì al sabato, dalle ore 8:00 alle ore 23:00, per qualsiasi tipo di informazione riguardanti la disponibilità del servizio e delle infrastrutture tecnologiche TABELLA DISPONIBILITA LIVELLI DI SERVIZIO Il Servizio viene erogato come dalla seguente tabella: Tipo del Servizio Giorni di disponibilità Orario di disponibilità Disponibilità delle liste: Chiavi Pubbliche Chiavi Revocate (CRL) Chiavi Sospese (CSL) 7 giorni su 7 24 ore su 24 Rilascio del Certificato qualificato Giorni feriali 09:00-13:00 e 15:00-19:00 Sospensione del Certificato qualificato 7 giorni su 7 24 ore su 24 Revoca del Certificato qualificato 7 giorni su 7 24 ore su TARIFFE Le tariffe per l emissione, il rinnovo, la revoca e la sospensione dei certificati saranno definite su base progettuale. Tali tariffe sono comunque in funzione delle quantità trattate e soggette all andamento del mercato e pertanto non vengono pubblicate sul sito del Certificatore. Per informazioni, scrivere all indirizzo di posta elettronica: info@cedacricert.it POLIZZA ASSICURATIVA Il massimale di indennizzo per eventuali danni causati dall inadempienza o negligenza del Certificatore Accreditato è fissato in: per singolo sinistro; Pag. 17 di 38

18 per annualità assicurativa. Pag. 18 di 38

19 2.11. INDIRIZZO DEL CERTIFICATORE ACCREDITATO Il Certificatore Accreditato è contattabile ai seguenti indirizzi: Cedacri S.p.A. Servizio Cedacricert Certificazione Digitale Via del Conventino, Collecchio (PR) info@cedacricert.it Sito Web: Centralino: Fax: Pag. 19 di 38

20 3. PARTE II: SERVIZIO DI CERTIFICAZIONE 3.2. OBBLIGHI E RESPONSABILITÀ DEI SOGGETTI COINVOLTI Certificatore Accreditato Il Certificatore Accreditato o Certification Authority è tenuto ad adottare tutte le misure tecniche e organizzative idonee per un tale servizio. In particolare il Certificatore che rilascia certificati qualificati è tenuto a: accertarsi dell identità della persona che fa richiesta di Certificato; rilasciare il relativo Certificato qualificato nelle modalità previste dal DPCM rif.[2]; informare i titolari sulle caratteristiche del servizio; adottare le necessarie misure di sicurezza per il trattamento dei dati personali; garantire che il dispositivo sicuro per la generazione della firma abbia le caratteristiche indicate all art. 35 del Dgls 82/2005 e all art.11 del DPCM rif.[2]; garantire che il titolare mantenga sempre in modo esclusivo il controllo delle proprie chiavi di firma; garantire che le chiavi private di firma generate all interno degli HSM non possano essere esportate; mantenere aggiornata la lista dei Certificati revocati; mantenere aggiornata la lista dei Certificati sospesi; gestire tutte le procedure necessarie ai fini delle attività di cui sopra, secondo adeguate norme di sicurezza; mantenere le registrazioni di tutte le informazioni relative alla gestione del certificato qualificato per meno venti anni. Il Certificatore Accreditato è direttamente responsabile nei confronti dei Titolari per il proprio operato, salvo ogni diritto di rivalsa Ente di registrazione Il Certificatore puo dare mandato a svolgere le funzioni di Ente di registrazione o Registration Authority a Banche, Istituti di Credito o altre Entità che avranno sottoscritto con il Certificatore uno specifico contratto di mandato. Il ruolo di Ente di registrazione o Registration Authority è svolto da personale esplicitamente autorizzato e formato dal Certificatore Accreditato. L operatore: identifica con certezza l'utente che richiede la Certificazione di una Chiave pubblica; invia al Certificatore Accreditato la domanda di Certificazione dell'utente; Pag. 20 di 38

21 archivia copia del contratto firmato dall'utente con copia del documento d identità allegata; fornisce all utente il necessario per perfezionare la procedura di richiesta Certificato. L elenco degli Enti di registrazione verranno pubblicati sul sito web Al momento la mansione di Ente di registrazione è svolta da Cedacri. Pag. 21 di 38

22 3.2.3 Titolare Il Titolare è tenuto a: fornire al Certificatore Accreditato, tutte le informazioni necessarie all atto della richiesta del Certificato; utilizzare la Chiave privata per i soli scopi per i quali la corrispondente Chiave pubblica è stata certificata; custodire diligentemente il Dispositivo di firma; custodire le informazioni di abilitazione all'uso della Chiave privata (P.I.N. del Dispositivo di firma) in un luogo diverso dal dispositivo contenente la chiave; custodire diligentemente il Codice di Blocco, ovvero il codice di emergenza necessario per effettuare le eventuali operazioni di sospensione e revoca dei certificati caricati sul dispositivo sicuro; richiedere immediatamente la revoca del Certificato in caso di smarrimento, furto, deterioramento o distruzione del Dispositivo di firma; richiedere immediatamente la revoca del Certificato in caso di certezza di compromissione della Chiave privata utilizzata; cessare l'utilizzo della coppia di chiavi una volta che il Certificato è scaduto; comunicare un indirizzo di valido; informare il Certificatore Accreditato di eventuali successive variazioni del proprio indirizzo , inviando un messaggio di posta elettronica firmato con il proprio Certificato all indirizzo: pec@cedacri.it; adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; comunicare tempestivamente al Certificatore Accreditato le variazioni dei propri dati identificativi e/o dei poteri di rappresentanza o di altri titoli relativi all attività o a cariche rivestite (modifica, cessazione, revoca). Il Certificatore Accreditato non è responsabile dei danni causati al Titolare, agli Utenti Utilizzatori, ed ai terzi del mancato rispetto, da parte del Titolare, dei suoi obblighi in quanto Titolare e più in generale degli obblighi di cui al presente Manuale. Il Certificatore Accreditato, ferma restando la facoltà di revocare o sospendere il Certificato, potrà risolvere in qualsiasi momento, ai sensi dell articolo 1456 del Codice Civile, il rapporto contrattuale in essere con il Titolare, qualora questi non adempia anche ad uno solo degli obblighi previsti dal presente paragrafo Utente utilizzatore L Utente utilizzatore delle chiavi pubbliche certificate è tenuto a svolgere almeno le seguenti azioni: Verificare che la tipologia del certificato utilizzato per la firma sia coerente a quanto indicato all art. 5 comma 4 del DPCM rif.[2] ed alla delibera CNIPA rif.[4], art. 12 comma 5 lettera a; Pag. 22 di 38

23 Verificare le liste dei certificati revocati e sospesi pubblicata dal Certificatore per assicurarsi che il certificato fosse valido al momento della firma; Verificare l esistenza di eventuali limitazioni all uso del certificato; Verificare che il certificato sia stato rilasciato da un certificatore pubblicato nelle liste reperibili presso Agenzia per l Italia Digitale. I dati dei Titolari non possono essere usati per comunicazioni non richieste, quali pubblicità o simili, anche se sono pubblicati. Pag. 23 di 38

24 4. PARTE III: MODALITÀ OPERATIVE 4.2. IDENTIFICAZIONE DEL RICHIEDENTE L'identità del Richiedente viene accertata dal Certificatore Accreditato tramite l operatore dedicato alla funzione di Ente di registrazione. Al fine di ottenere un certificato di sottoscrizione, il Richiedente deve: prendere visione del presente Manuale Operativo e dell eventuale ulteriore documentazione informativa; seguire le procedure di identificazione adottate dal Certificatore come descritte nel presente paragrafo; fornire tutte le informazioni necessarie alla identificazione, corredate, ove richiesto, da idonea documentazione; sottoscrivere la richiesta di registrazione accettando le condizioni contrattuali che disciplinano l erogazione del servizio Informazioni Indispensabili per il rilascio del certificato Nel modulo di richiesta per il certificato qualificato sono contenute sia i dati relativi all identità del titolare che le informazioni che consentono di gestire il rapporto fra Certificatore e Titolare. I dati indispensabili per l emissione del certificato che il Richiedente deve obbligatoriamente fornire, sono i seguenti: Cognome e Nome Data e Luogo di Nascita Codice Fiscale Indirizzo di residenza Indirizzo Utilizzo di pseudonimo E possibile richiedere al Certificatore che il certificato riporti uno pseudonimo in luogo dei propri dati reali. Poiché il certificato è qualificato, il Certificatore conserverà le informazioni relative alla reale identità del Richiedente per 20 anni Limiti d uso e di valore E' possibile richiedere al certificatore l'inserimento nel certificato di limiti di valore che indichino un limite di valore degli atti unilaterali e dei contratti per i quali il certificato stesso può essere usato. Pag. 24 di 38

25 Ferma restando la responsabilità del Certificatore [7], è responsabilità dell'utente verificare il rispetto dei limiti d uso inseriti nel certificato. La richiesta di inserire altre specifiche limitazioni d'uso sarà valutata dal Certificatore per gli aspetti legali, tecnici e di interoperabilità e valorizzata di conseguenza Inserimento del Ruolo e dell Organizzazione Il Richiedente può ottenere, direttamente, o con il consenso dell eventuale Terzo Interessato, l inserimento nel certificato di sottoscrizione di informazioni relative a Funzioni, Titoli e/o Abilitazioni Professionali e Poteri di Rappresentanza. In questo caso, il Titolare, oltre alla documentazione e alle informazioni identificative necessarie, dovrà produrre anche quella idonea a dimostrare l effettiva sussistenza dello specifico Ruolo anche attestandolo mediante Autocertificazione, ai sensi dell art. 46 del D.P.R. rif. [1]. La ragione sociale o la denominazione e il codice identificativo dell'organizzazione saranno invece riportate nel certificato se essa ha richiesto o autorizzato il rilascio del certificato al Titolare, anche senza l'esplicita indicazione di un ruolo REGISTRAZIONE DEL RICHIEDENTE Prima di poter procedere all effettivo rilascio del certificato, è necessario memorizzare negli archivi del Certificatore i dati del Richiedente. Questo processo viene portato a termine dal Certificatore Accreditato tramite l operatore dedicato alla funzione di Ente di registrazione e si svolge nel seguente modo: Il Richiedente si presenta presso la sede Cedacri di Collecchio (PR), o presso un Ente di registrazione di CEDACRI per richiedere il rilascio di un nuovo Certificato; l operatore incaricato produce la documentazione contrattuale a partire dal modulo di richiesta predefinito, su cui vengono inseriti i dati anagrafici dell'utente; la documentazione viene firmata per accettazione dall'utente; l operatore incaricato si collega al sistema Cedacricert e mediante un collegamento interno via Browser Web, effettua l'autenticazione al sistema; l'operatore incaricato effettua il riconoscimento dell'utente secondo la normativa vigente. L utilizzo di pseudonimi è consentito e regolato così come descritto nel paragrafo del presente manuale. Il richiedente munito di poteri di rappresentanza o di altri titoli relativi all attività professionale o a cariche rivestite, se desidera inserirli come ruoli all interno del certificato, deve fornire le informazioni dettagliate nel paragrafo del presente manuale. l'operatore incaricato procede alla registrazione inserendo i dati anagrafici del Richiedente, più tutte le informazioni necessarie alla sua gestione successiva; 4.4. RILASCIO DEL CERTIFICATO Il processo di rilascio del certificato prevede le due seguenti casistiche: Chiavi generate su token USB. Chiavi generate su HSM e destinate all utilizzo per la sottoscrizione automatica. Pag. 25 di 38

26 Il Certificato qualificato emesso ha validità di 1095 giorni salvo revoca Chiavi generate su smart card o token Alla presenza del Titolare, immediatamente terminata la fase di registrazione, l operatore avvia la procedura di generazione della coppia di chiavi e di emissione del certificato. La procedura consiste nel consentire al Titolare di personalizzare i codici segreti PIN e PUK del dispositivo, effettuare l operatività necessaria alla creazione della coppia di chiavi, scaricare il relativo Certificato sul dispositivo di firma, creare il codice di blocco necessario per effettuare le eventuali operazioni di sospensione e revoca dello stesso Chiavi generate su HSM destinate all utilizzo per la sottoscrizione automatica Questa procedura viene effettuata successivamente alla fase di registrazione, dal personale del Certificatore presso i locali che ospitano l'hsm ed i server collegati. Il certificato emesso è inviato al Titolare. Certificato e chiavi sono resi non funzionali fino a che il Titolare stesso non provveda a richiederne l'attivazione REVOCA CERTIFICATO La revoca può avvenire su richiesta del Titolare, su iniziativa del Certificatore Accreditato o su richiesta di Terzo interessato. Nel caso che la revoca venga richiesta dal Certificatore o dal terzo Interessato, il certificatore comunicherà al titolare tale evento utilizzando i riferimenti (telefono, indirizzo di posta elettronica) forniti dal titolare stesso in fase di registrazione. La revoca di un Certificato è sempre definitiva Revoca Certificato su richiesta del Titolare Il Titolare può richiedere la revoca del Certificato per uno dei seguenti motivi: la chiave privata sia stata compromessa, ovvero sia presente uno dei seguenti casi: - sia stato smarrito il dispositivo sicuro di firma che contiene la chiave; - sia venuta meno la segretezza della chiave o del suo codice d attivazione (PIN); - si sia verificato un qualunque evento che abbia compromesso il livello d affidabilità della chiave; il Titolare non riesce più ad utilizzare il dispositivo sicuro di firma in suo possesso (es. guasto del dispositivo) Pag. 26 di 38

27 Il Richiedente è tenuto a presentare la richiesta di revoca compilando e sottoscrivendo il modulo di revoca (pubblicato sul sito web nel menù modulistica del servizio ) unitamente ad una fotocopia di un documento di identità in corso di validità e avendo a disposizione il Codice di Blocco. In caso di smarrimento del Codice di Blocco, il Titolare può richiedere comunque la revoca sfruttando il canale telefonico. Questa provoca solo una sospensione del Certificato per 6 giorni di calendario consecutivi in attesa di una richiesta scritta del Titolare, da consegnarsi all Ente di registrazione presso cui lo stesso ha stipulato il contratto, che provvederà ad inoltrarlo al Certificatore Accreditato, oppure direttamente agli uffici del Certificatore siti in Collecchio (PR) Il modulo di revoca andrà stampato, compilato manualmente, firmato con firma autografa e consegnato al Certificatore : 1. direttamente presso: CEDACRI S.p.A.- Ufficio Sicurezza Via del Conventino, Collecchio (PR) 2. via lettera all'inidrizzo sopra menzionato 3. via fax.presso CEDACRI - Ufficio Sicurezza al n.ro 0521/ via telefonica al numero , attivo 24 ore su 24, 7 giorni su 7, festivi compresi, In tutti i casi Il Certificatore richiede al Titolare tutti i dati necessari per effettuare tutte le verifiche del caso Revoca Certificato su iniziativa del Certificatore Accreditato Il Certificato può essere revocato su iniziativa del Certificatore Accreditato in caso di: a. sospetto o certezza di compromissione della Chiave privata dell'utente; b. sospetto o certezza di compromissione della Chiave privata della CA; c. riscontro di una condizione di non rispetto delle condizioni d'uso; d. cessazione di attività di CA. Il Certificatore Accreditato informa preventivamente il Titolare in merito alla revoca comunicando data ed ora di efficacia della revoca. Nei casi previsti ai punti a, b, c, il Certificatore Accreditato revoca il Certificato, pubblica la CRL aggiornata ed informa contestualmente il Titolare e l Ente di registrazione. In tutti i casi la comunicazione avviene via all'ultimo indirizzo comunicato dal Titolare. Nel caso previsto al punto d, si fa riferimento a quanto previsto nel DPCM rif.[2]. Pag. 27 di 38

28 4.5.3 Revoca su iniziativa del Terzo interessato Il Terzo interessato può richiedere la revoca del Certificato rilasciato a suo tempo al titolare, quale rappresentante o delegato o munito di altri titoli relativi all attività professionale o a cariche rivestite, con il consenso del predetto terzo interessato, come da normativa vigente. La richiesta deve essere effettuata per iscritto con adeguata documentazione giustificativa. Il Certificatore Accreditato provvede a valutare la richiesta ed a contattare il Titolare, procedendo eventualmente alla sospensione del Certificato in attesa di chiarimenti Lista dei Certificati revocati CRL I Certificati revocati vengono inseriti nella CRL (lista dei Certificati revocati), emessa dal Certificatore Accreditato e pubblicata con marcatura temporale. La pubblicazione ordinaria della suddetta lista avviene con cadenza giornaliera ogni 8 ore. In caso di richiesta di revoca immediata, la lista dei Certificati revocati (CRL) sarà prontamente pubblicata SOSPENSIONE La sospensione può avvenire su richiesta del Titolare oppure su iniziativa del Certificatore Accreditato o su richiesta di un Terzo interessato. La sospensione di un certificato digitale può rendersi necessaria nel caso che si debba verificare preventivamente la revoca dello stesso (ad esempio quando si abbia il dubbio ma non la certezza della perdita del controllo di uno o più dati per l utilizzo del servizio di firma digitale) La sospensione può avvenire su richiesta del Titolare oppure su iniziativa del Certificatore Accreditato o su richiesta di un Terzo interessato. Una volta sospeso il certificato rimarrà in tale stato per un periodo massimo di 90 (novanta) giorni trascorsi i quali,se non più ripristinato, verrà automaticamente e definitivamente revocato. Le procedure per la sospensione del certificato sono completamente analoghe a quelle descritte per la revoca dello stesso Lista dei Certificati sospesi CSL I Certificati sospesi vengono inseriti nella CSL (lista dei Certificati sospesi), emessa dal Certificatore Accreditato e pubblicata con marcatura temporale. La pubblicazione ordinaria della suddetta lista avviene con cadenza giornaliera. Pag. 28 di 38

29 In caso di richiesta di sospensione immediata, la lista dei Certificati sospesi (CSL) sarà prontamente pubblicata RINNOVO E SOSTITUZIONE DEL CERTIFICATO E DELLE CHIAVI DI CERTIFICAZIONE Rinnovo del certificato del Titolare Il periodo di validità del Certificato è quello compreso nell intervallo di tempo specificato dai campi del Certificato Valid from e Valid to : nel primo vengono indicate la data e l ora di inizio validità, nel secondo la data e l ora di fine validità. I Certificati emessi dalla Cedacri S.p.A. - Servizio Cedacricert hanno validità 1095 giorni. Il Titolare che intende rinnovare il proprio Certificato deve farne domanda al Certificatore Accreditato, almeno 30 giorni prima della scadenza di quello in suo possesso. Tale richiesta dovrà essere firmata con le chiavi in corso di validità, in modo che il Certificatore Accreditato sia in grado di verificare l identità del Richiedente. L avvenuto rinnovo del Certificato sarà notificato al Titolare via posta elettronica all ultimo indirizzo comunicato. Una volta ricevuto il nuovo certificato, la Chiave privata relativa al vecchio Certificato non dovrà più essere utilizzata. Il vecchio Certificato sarà conservato, a partire dalla data di scadenza, negli archivi del Certificatore Accreditato per 20 anni. Trascorso il periodo di validità del certificato, non è più possibile effettuare il rinnovo, ma si dovrà procedere ad una nuova registrazione da parte del Richiedente Sostituzione delle chiavi di certificazione del Certificatore Accreditato Con riferimento al DPCM rif.[2], almeno 90 giorni prima della scadenza del certificato relativo alla coppia di chiavi di certificazione il Certificatore Accreditato avvia la procedura di sostituzione, generando una nuova coppia di chiavi, rispettando le modalità previste. I Certificati prodotti secondo le suddette regole, saranno forniti all Agenzia per l Italia Digitale MODALITÀ OPERATIVE PER LA VERIFICA E L APPOSIZIONE DELLA FIRMA DIGITALE Il Certificatore nel rispetto delle indicazioni presenti nel DPCM rif.[2] mette a disposizione dei titolari e degli utilizzatori dei certificati digitali, degli strumenti per l apposizione e la verifica della firma. Pag. 29 di 38

30 Cedacricert mette a disposizione gratuitamente l applicativo Firma Facile Web raggiungibile all indirizzo : Il suddetto applicativo permette agli utenti di: firmare digitalmente un qualsiasi documento informatico; verificare le firme digitali apposte secondo il formato definito dalla Deliberazione CNIPA [4] verificare le firme digitali apposte secondo il formato definito dalla Circolare AIPA 24/2000 [8]. Le releases dei sistemi operativi compatibili con il servizio Cedacricert, nonchè il documento in cui sono presenti le istruzioni per la generazione e la verifica della firma digitale, sono reperibili sul sito ufficiale Cedacricert. Pag. 30 di 38

31 5. MARCA TEMPORALE In generale una marca temporale è una struttura di dati firmata digitalmente che lega in modo sicuro e verificabile un qualsiasi documento informatico ad un riferimento temporale affidabile. Cedacricert utilizza un sistema fidato, le cui chiavi sono certificate da una autorità di certificazione, ovvero Time Stamping Authority, per i propri servizi interni e per offrire un servizio di marcatura temporale ai propri utenti. Tutte le marche temporali emesse dal sistema di validazione sono conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a venti anni. La marca temporale e' valida per l'intero periodo di conservazione a cura del fornitore del servizio MARCATURA TEMPORALE DEI CERTIFICATI E DELLE CRL/CSL Tutti i Certificati emessi dalla Cedacri S.p.A. Servizio Cedacricert, sono pubblicati con l apposizione di Marca temporale, così come la lista dei Certificati revocati (CRL) e/o la lista dei Certificati sospesi (CSL) SERVIZIO DI MARCATURA TEMPORALE Cedacricert offre ai suoi utenti un servizio di validazione temporale di documenti informatici. Il servizio di marcatura temporale permette di associare ad una evidenza informatica, una data ed un ora certa validandola temporalmente. La richiesta di emissione o verifica delle marche temporali può essere effettuata attraverso il tool Firma Facile Web messo a disposizione da Cedacricert. Le istruzioni per l utilizzo del prodotto sono presenti nel documento denominato Istruzioni Operative per la Firma Digitale e la Crittografia scaricabile dal sito ufficiale Cedacri. Il servizio di validazione, una volta ricevuta la richiesta di marcatura temporale contenente l impronta dell evidenza informatica da sottoporre a validazione temporale calcolata utilizzando l algoritmo di hash SHA-256, genera una struttura di dati contenente, tra le varie informazioni, l impronta medesima e la data/ora corrente, con riferimento al Tempo Universale Coordinato, ottenuta da una fonte esatta. Su questa struttura dati, viene quindi apposta la firma del sistema elettronico sicuro gestito da Cedacricert, creando cosi la marca temporale vera e propria che successivamente viene resa disponibile all utente che ne ha fatto richiesta. La validazione temporale dei documenti informatici firmati digitalmente, attraverso l apposizione di una marca temporale nel momento in cui il certificato digitale del sottoscrittore sia in corso di validità, permette di verificare e considerare valida la firma digitale apposta, anche quando il certificato andrà in scadenza o, eventualmente, verrà revocato o sospeso. La data/ora corrente inserita dal servizio di validazione nelle marche temporali, viene mantenuta allineata con l ora esatta UTC (Tempo Universale Coordinato) grazie al segnale di sincronismo ottenuto da un ricevitore esterno di qualità del segnale emesso dalla rete dei satelliti GPS. Il segnale orario così ottenuto rispetta i margini di precisione richiesti dalla normativa vigente. Pag. 31 di 38

32 6. REGISTRO DEI CERTIFICATI 6.2. GESTIONE DEL REGISTRO DEI CERTIFICATI Tutti i certificati emessi dal certificatore Cedacri sono inseriti nel registro dei certificati, registro che non è pubblico. Esiste anche un registro pubblico dove sono pubblicati : I certificati per le chiavi del certificatore, I certificati relativi ad accordi di certificazione, La lista dei certificati revocati e sospesi. Gli elenchi sono costantemente ed immediatamente aggiornati in seguito alle operazioni eseguite sul sistema dal personale addetto alla gestione del registro dei Certificati. Il registro dei certificati viene gestito in modo da poter avere una continuità di servizio dell elenco dei certificati revocati e sospesi (CRL e CSL), per agevolare la verifica delle firme. In caso di emergenza, sono disponibili copie di backup effettuate con cadenza giornaliera che permettono il ripristino entro i termini dichiarati nel paragrafo MODALITÀ DI ACCESSO AL REGISTRO DEI CERTIFICATI Gli elenchi dei Certificati in vigore (previa autorizzazione del Titolare alla pubblicazione), revocati (CRL) o sospesi (CSL) sono disponibili sul sito e vi si accede seguendo le istruzioni dei menù di navigazione. Sono comunque raggiungibili anche via protocollo LDAP all indirizzo ldap.cedacricert.it. Pag. 32 di 38

33 7. GIORNALE DI CONTROLLO Come previsto nel riferimento [2], il giornale di controllo è costituito dall insieme delle registrazioni effettuate dal sistema del Certificatore Accreditato. L integrità del giornale di controllo viene verificata con cadenza mensile. Lo stesso viene archiviato e conservato per un periodo non inferiore ai 20 anni. La data/ora inserita come riferimento temporale in ogni registrazione appartenente al giornale di controllo, viene mantenuta allineata con l ora esatta UTC (Tempo Universale Coordinato). Pag. 33 di 38

34 8. GESTIONE 8.1 RISERVATEZZA Le informazioni raccolte dal Certificatore Accreditato nell esercizio delle proprie funzioni vengono inizialmente raccolte su supporti cartacei e successivamente immesse nel sistema informatico dello stesso. Esse sono da considerarsi riservate, fatte salve quelle destinate all uso pubblico dei Certificati e quindi pubblicate nel Directory Server. Non sono presenti informazioni ''sensibili'' ai sensi del Decreto Legislativo n. 196 del 30 giugno I supporti cartacei sono archiviati anche elettronicamente e mantenuti per il periodo di 20 anni. In ogni caso, il Certificatore Accreditato si atterrà a quanto previsto dal Decreto Legislativo n. 196 del 30 giugno 2003 e successive modificazioni, nel trattamento dei dati personali di cui verrà in possesso e nell adozione delle relative misure di sicurezza SICUREZZA E stato redatto un piano per la sicurezza secondo le disposizioni dell articolo 35 DPCM rif. [2], che costituisce un documento riservato, comunque consegnato all AGENZIA PER L ITALIA DIGITALE. Nel Piano sono dettagliate le misure di sicurezza fisiche e logiche adottate per la protezione dell integrità e della riservatezza dei dati. In particolare, i locali nei quali sono situate le apparecchiature utilizzate dal Certificatore Accreditato per l esercizio delle proprie funzioni, sono protetti da un sistema di controllo accessi e da videocamere, che fanno capo ad un servizio di vigilanza costituente un presidio permanente. Solo al personale addetto è concessa l abilitazione ad entrare nei suddetti locali, e comunque ogni accesso è rigorosamente registrato. Oltre al controllo fisico, vengono effettuati controlli ed analisi di tipo logico sulle registrazioni effettuate dai vari sistemi (files di log), in modo da verificare che tutti gli eventi verificatesi facciano parte della normale attività del Certificatore Accreditato. Tutti i dati rilevanti (log di accesso fisico alle aree protette riservate ai sistemi della Certification Authority, i log di tutti i sistemi coinvolti nell erogazione del servizio, etc..) per il Servizio sono periodicamente salvati su copie di sicurezza, opportunamente conservate per gli eventuali ripristini in caso di guasto EMERGENZE La Cedacri S.p.A. ha predisposto un piano di intervento nelle situazioni di emergenza, includendovi quelle catastrofiche che potrebbero causare l indisponibilità totale e/o parziale del sito principale del Servizio Cedacricert. Le funzionalità offerte dalla Cedacri S.p.A., tenendo conto dei livelli di priorità di erogazione del Servizio Cedacricert, sono suddivise in due categorie: Categoria A: ne fanno parte i servizi per i quali sono richiesti tempi di ripristino brevi, quali: - Revoca e/o sospensione dei Certificati - Verifica delle CRL/CSL Categoria B: ne fanno parte i servizi per i quali non sono richiesti tempi di ripristino brevi, quali : - Registrazione e/o emissione dei Certificati Pag. 34 di 38