REGOLAMENTO DI FIRMA Per il sistema d emissione fatture elettroniche della WizzAir Hungary Srl Identificatore individuale dell oggetto (OID): 1.3.6.1.4.1.18665.1.2 Numero di versione: 1.0 Data d entrata in vigore: 01-10-2005
2 Signature Policy Gestione modifiche Versione Data Descrizione modifiche Draft1 01-07-2005 Prima versione di lavoro Draft2 29-08-2005 Versione di lavoro ampliata e puntualizzata. 1.0 01-10-2005 Primo stato valido.
3 Signature Policy Indice GESTIONE MODIFICHE... 2 1. INTRODUZIONE... 5 2. DATI DEL REGOLAMENTO DI FIRMA... 6 2.1. IDENTIFICATORE DEL REGOLAMENTO DI FIRMA... 6 2.2. VALIDITÀ DEL REGOLAMENTO DI FIRMA... 6 2.2.1. Validità oggettiva del regolamento... 6 2.2.2. Validità territoriale del regolamento... 6 2.2.3. Validità temporale del regolamento... 6 2.2.4. Validità personale del regolamento... 6 2.3. MANUTENZIONE DEL REGOLAMENTO DI FIRMA (GESTIONE MODIFICHE)... 7 2.4. DIVULGAZIONE DEL REGOLAMENTO... 7 2.5. REGOLAMENTI E DOCUMENTI CONNESSI... 8 3. REGOLAMENTO DI CONVALIDA FIRMA... 9 3.1. TIPI DI CONTRAZIONE D'OBBLIGO DELLE FIRME ELETTRONICHE... 9 3.2. REGOLE RELATIVE AI DATI DI CONVALIDA... 9 3.2.1. Obblighi di chi firma... 9 3.2.2. Obblighi di chi controlla la firma... 10 3.3. REGOLE RELATIVE AI FORMATI... 10 3.3.1. Formati firmabili elettronicamente... 10 3.3.2. Formato della firma elettronica...error! Bookmark not defined. 3.4. REGOLE RELATIVE ALL'UTILIZZO DI GESTORI D'AUTENTICA... 10 3.4.1. Regole relative alla catena di certificazione... 10 3.4.2. Regole di revoca... 11 3.5. REGOLE RELATIVE ALL'UTILIZZO DI GESTORI DI TIMBRATURA DELLA DATA... 12 3.5.1. Regole relative alla catena di certificazione...error! Bookmark not defined. 3.5.2. Regole di revoca... 12 3.5.3. Regole relative al periodo d'attesa... 12 3.5.4. Regole relative al ritardo della timbratura della data... 13 3.6. REGOLE RELATIVE ALLE LIMITAZIONI ALGORITMICHE E ALLE LUNGHEZZE DELLE CHIAVI... 13 4. CREAZIONE DELLA FIRMA... 15 4.1. PREPARATIVI ALLA CREAZIONE DELLA FIRMA...ERROR! BOOKMARK NOT DEFINED. 4.1.1. Installazione del Modulo Integrato di Firma Marketline...Error! Bookmark not defined. 4.1.2. Generazione della chiave... 15
4 Signature Policy 4.1.3. Installazione delle certificazioni d'origine e del gestore... 15 4.2. PROCESSO DI CREAZIONE DELLA FIRMA... 16 4.2.1. Concessione dati d'attivazione... 16 4.2.2. Creazione della firma... 16 4.2.3. Controllo iniziale della firma da parte di chi firma...error! Bookmark not defined. 4.2.4. Validità della firma... 16 4.3. PARTICOLARI REGOLE DI REVOCA E SOSPENSIONE... 17 5. CONTROLLO DELLA FIRMA... 18 5.1. PREPARATIVI AL CONTROLLO DELLA FIRMA...ERROR! BOOKMARK NOT DEFINED. 5.1.1. Installazione del Verify... 18 5.1.2. Installazione delle certificazioni d'origine e del gestore... 18 5.2. PROCESSO DI CONTROLLO DELLA FIRMA... 19 5.2.1. Dati di convalida firma... 19 5.2.2. Validità della firma... 19 6. DEFINIZIONI... 21
5 Signature Policy 1. Introduzione Il presente documento è il regolamento di firma del sistema d emissione delle fatture elettroniche e dell area di transazione della WizzAir Hungary Srl che si riferisce all attività di firma e di controllo di firma delle parti partecipanti all emissione e all approvazione delle fatture. Nel sistema d emissione fatture il presente regolamento di firma definisce i requisiti soprattutto per i due seguenti moduli: il prodotto qualificato della T-Online Magyarország spa, il Modulo integrato di firma Marketline (in seguito MIAM) che effettua la firma delle fatture elettroniche, il controllo iniziale di supporto del controllo finale della firma, l archiviazione ed inoltre il prodotto MultiSigno Verify, (in seguito Verify) scaricabile gratuitamente (non qualificato) mediante il quale il destinatario della fattura può controllare la firma della fattura elettronica.
6 Signature Policy 2. Dati del regolamento di firma 2.1. Identificatore del regolamento di firma Identificatore individuale del regolamento di firma: Data d emissione del regolamento di firma: Ente d emissione del regolamento di firma: vedi valore evidenziato in copertina vedi data evidenziata in copertina WizzAir Hungary Srl 2.2. Validità del regolamento di firma 2.2.1. Validità oggettiva del regolamento La validità oggettiva del regolamento di firma è estesa al sistema d emissione fatture elettroniche della WizzAir Hungary Srl e alle transazioni elettroniche effettuate con tale sistema con particolare riguardo al Modulo integrato di firma Marketline e al programma MultiSigno Verify. 2.2.2. Validità territoriale del regolamento La validità territoriale del regolamento di firma è valida su tutto il territorio dell Ungheria. 2.2.3. Validità temporale del regolamento Il regolamento di firma è valido per un periodo indeterminato a partire dalla data d entrata in vigore della presente versione indicata sulla copertina e sulla tabella della gestione modifiche. La validità temporale del regolamento di firma cessa con l entrata in vigore d una versione più nuova o con la revoca del regolamento di firma. 2.2.4. Validità personale del regolamento La validità personale del regolamento di firma è estesa ai dipendenti che gestiscono il sistema d emissione fatture elettroniche della WizzAir Hungary Srl (responsabili per le firme elettroniche delle fatture), e ai destinatari delle fatture emesse (clienti che accettano le fatture elettroniche emesse dalla WizzAir Hungary Srl e controllano la firma elettronica delle fatture).
7 Signature Policy 2.3. Manutenzione del regolamento di firma (gestione modifiche) La WizzAir Hungary Srl può modificare in qualsiasi momento il regolamento di firma senza preventivo annuncio. La WizzAir Hungary Srl divulga ai propri clienti che accettano le fatture firmate il regolamento modificato almeno 2 giorni prima e ne manda comunicazione. La WizzAir Hungary Srl conserva le precedenti versioni del regolamento abrogate e su richiesta ne garantisce una copia per i clienti interessati. I clienti che accettano le fatture elettroniche della WizzAir Hungary Srl accettano l attuale (presente) regolamento di firma e lo considerano valido. In caso di modifica del regolamento i clienti che accettano le fatture elettroniche della WizzAir Hungary Srl possono muovere obiezione fino all entrata in vigore del nuovo regolamento, il mancato adempimento significa accettare il regolamento. 2.4. Divulgazione del regolamento La WizzAir Hungary Srl pubblica sulla propria home page la versione attuale del regolamento di firma. Il regolamento viene divulgato in formato pdf.
8 Signature Policy 2.5. Regolamenti e documenti connessi Il presente regolamento di firma è il Regolamento di Servizio Autenticazioni Matáv ed è stato allestito conformemente ai Regolamenti di Certificazione dei tipi di certificazione Matáv e alla Politica di Servizio di Timbratura della Data del servizio di timbratura data della Matáv. Nel sistema di firma elettronica della WizzAir Hungary Srl un regolamento interno particolare si riferisce alle regole di generazione e conservazione di singole chiavi criptografiche utilizzate (Regolamento di gestione delle chiavi del sistema d emissione fatture elettroniche della WizzAir Hungary Srl). L utilizzo del Modulo Integrato di firma Marketline è contenuto nella descrizione di gestione del MIAM. L utilizzo del Verify è presentato nel pdf allegato all applicazione. Regolamenti Matáv L emissione e la gestione dei certificati utilizzati per l emissione delle fatture rilasciate dalla WizzAir Hungary Srl vengono svolte in base al Regolamento di Servizio d Autenticazione e del Regolamento di Certificato Accentuato di Business della Firma elettronica della Matáv Spa. La Matáv fornisce il servizio di timbratura della data in base alla Politica di Servizio della Timbratura della Data del Servizio di Timbratura delle Data, inoltre secondo il Regolamento di Servizio di Certificazione Qualificato della Firma elettronica e di Timbratura della Data. I succitati regolamenti pubblici sono reperibili nella home page eszignó.
9 Signature Policy 3. Regolamento di convalida firma 3.1. Tipi di contrazione d obbligo delle firme elettroniche Ogni firma elettronica significa allo stesso tempo l assunzione d impegno. Il presente Regolamento di Firma per quanto concerne tutte le firme elettroniche sotto il suo effetto prescrive i seguenti tipi d assunzione d impegno: Con la firma della fattura elettronica la persona che firma (la WizzAir Hungary Srl, in nome della quale la persona che firma è un dipendente incaricato) riconosce che la fattura è stata preparata, approvata e inviata da lui, nella data precisata nella firma, a nome della WizzAir Hungary Srl definita nel certificato per il controllo della firma. La firma elettronica creata in tal modo vale come firma ufficiale della ditta WizzAir Hungary Srl. Considerando che il regolamento di firma definisce unica assunzione d impegno per ogni firma sotto il suo effetto in seguito le regole relative alla validità (preparazione e controllo) delle firme si riferiscono uniformemente alle firme di tutte le fatture elettroniche. 3.2. Regole relative ai dati di convalida I requisiti relativi alla responsabilità delle Parti che creano e accettano le firme che entrano sotto l effetto del presente regolamento di firma sono i seguenti: 3.2.1. Obblighi di chi firma La Parte che firma la fattura elettronica (WizzAir Hungary Srl) oltre a creare la firma deve svolgere il controllo iniziale della firma e con queste due attività insieme deve garantire tutti i dati di convalida necessari all innegabilità ulteriore della firma elettronica. La Parte che firma alla creazione della firma deve completare la firma elettronica come segue: L identificatore del presente regolamento di firma (come caratteristica firmata di firma), Certificazione del cliente finale utilizzata per la firma (come caratteristica firmata di firma), Timbro della data (come caratteristica non firmata di firma). La Parte che firma al controllo iniziale della firma (che deve effettuare dopo un periodo d attesa definito nel punto 3.5.3) deve completare la firma elettronica come segue: Lista di revoca valida rilasciata entro 24 ore dopo la firma, Certificazione del fornitore di servizio utilizzato per la firma della lista di revoca (come caratteristica non firmata di firma). Il processo della creazione della firma si trova nel capitolo 4.
10 Signature Policy 3.2.2. Obblighi di chi controlla la firma Le Parti che accettano (controllano la firma) le fatture elettroniche dopo l arrivo della fattura possono controllare la validità della firma elettronica. Durante questo tempo le Parti controllanti non devono raccogliere i dati di convalida, possono effettuare il controllo della firma in base ai dati di validità che si trovano esclusivamente nella firma e sono stati inseriti dalla persona che firma, inoltre in base alle certificazioni affidabili precedentemente installate nell archivio certificazioni (quindi non devono effettuare il controllo iniziale, possono fare direttamente il controllo posteriore). Il processo del controllo della firma si trova nel capitolo 5. 3.3. Regole relative ai formati 3.3.1. Formati firmabili elettronicamente Nel sistema d emissione di rilascio fatture elettroniche della WizzAir Hungary Srl è possibile firmare le fatture elettroniche (immagine di fattura) esclusivamente in formato pdf. 3.3.2. Formato della firma elettronica La Parte che firma deve preparare la firma in formato conforme alla norma XML-Signature RFC 3275 (XML-Signature Syntax and Processing). La fattura elettronica contiene una firma, nel sistema non c è bisogno di prepararsi a creare firme multiple. La parte che firma non può modificare il formato standard di cui sopra durante il controllo iniziale effettuato alla scadenza del periodo d attesa (vedi punto 3.5.3) conseguente alla creazione della firma, sostituisce soltanto la lista di revoca con la lista di revoca attualizzata. Le parti di controllo devono effettuare il controllo posteriore della firma sulla firma elettronica contenente la firma semplice ricevuta con formato adeguato allo standard XML-Signature RFC 3275. 3.4. Regole relative all utilizzo di gestori d autentica 3.4.1. Regole relative alla catena di certificazione All interno del sistema d emissione fatture elettroniche della WizzAir Hungary Srl si possono applicare le certificazioni del cliente finale emesse nell ambito del servizio eszignó esclusivamente dalla Matáv spa, la cui registrazione è stata effettuata dalla Matáv spa. Le certificazioni del cliente finale sono identificabili con le seguenti: Emittente (Issuer: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU),
11 Signature Policy Numero di serie (SerialNumber: Numero di serie). Le certificazioni del cliente finale hanno un elevato livello di sicurezza e un periodo di validità di un anno. L unità d emissione autentiche della Matáv firma (autentica) le certificazioni del cliente finale emesse nel sistema con la certificazione del gestore. La certificazione del gestore è identificabile con i seguenti dati: Numero di serie (SerialNumber: 0084) Emittente (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Soggetto (Subject: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU) Copia SHA1: DF62 0A85 75A4 62AC 77E6 CDA0 AD5D AB2A A41B 0B2A La certificazione del gestore ha un elevato livello di sicurezza e un periodo di validità di 5 anni. La certificazione dell unità di autentiche d origine della Deutche Telekom certifica con la propria firma la certificazione dell unità di emissione autentiche della Matáv. La certificazione d origine è identificabile con i seguenti dati: Numero di serie (SerialNumber: 0024) Emittente (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Soggetto (Subject: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Copia SHA1: 9E6C EB17 9185 A29E C606 0CA5 3E19 74AF 94AF 59D4 La certificazione d origine ha un elevato livello di sicurezza e un periodo di validità di 20 anni. 3.4.2. Regole di revoca Per il controllo della validità delle certificazioni del cliente finale bisogna applicare anche le liste di revoca. L unità d emissione autentiche della Matáv firma ed emette le liste di revoca al massimo ogni 24 ore. Le liste di revoca sono a disposizione della parte che firma nell archivio certificazioni della Matáv col titolo di certificazioni del cliente finale. La lista di revoca è estraibile dalla firma elettronica per la parte che controlla. Le liste di revoca sono certificate dalla stessa certificazione dell unità d emissione autentiche che delle certificazioni del cliente finale (vedi certificazione del gestore al punto 3.3.1).
12 Signature Policy Le liste di revoca appartenenti alle certificazioni del cliente finale sono verificabili e controllabili con questa certificazione. Per la certificazione del gestore e per il controllo della validità della certificazione d origine che la autentica non c è bisogno di applicare le liste di revoca. 3.5. Regole relative all'utilizzo di gestori di timbratura della data Il presente Regolamento di firma esige anche l utilizzo di timbri data. 3.5.1. Regole relative alla catena di certificazione Nel sistema d emissione fatture elettroniche della WizzAir Hungary Srl possono essere utilizzati esclusivamente timbri data forniti dalla Matáv Spa. La certificazione del gestore della Matáv Spa, utilizzata per la firma dei timbri data, è identificabile secondi i dati seguenti: Emittente (Issuer: CN = Matav Qualificato Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Utilizzo esteso di chiave (ExtendedKeyUsage: 1.3.6.1.5.5.7.3.8 /Timbratura della data/) La certificazione del gestore utilizzata per la firma dei timbri data è certificata dalla certificazione d originalità (con la firma) della Matáv gestore Qualificato di Certificazione. La presente certificazione d originalità è identificabile secondo i dati seguenti: Numero di serie (SerialNumber: 01) Emittente (Issuer: CN = Matav Qualificato Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Soggetto (Subject: CN = Matav Qualificato Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Copia SHA1: 691D 25F1 298B 8ECC EF4E FC77 04CE D79F BDCA AE2D 3.5.2. Regole di revoca Per il controllo della validità della certificazione del gestore utilizzata per la firma dei timbri data e della certificazione d origine che certifica il precedente, non c è bisogno d applicare liste di revoca. 3.5.3. Regole relative al periodo d'attesa La Parte che firma dopo la creazione della firma può effettuare il controllo iniziale solo dopo 24 ore d attesa.
13 Signature Policy La Parte che firma può lasciare raggiungibile la fattura elettronica per le Parti che controllano solo dopo l effettuazione del controllo iniziale (in forma definitivamente completata con i dati di validità inseriti durante tale controllo). 3.5.4. Regole relative al ritardo della timbratura della data Il presente Regolamento di firma non prescrive la verifica di differenza temporale tra la data di firma inserita nella firma e la data definita nel timbro della data. Durante il controllo sia iniziale che posteriore la data inserita nel timbro della data è la data da considerare come creazione della firma. (Al controllo della firma le Parti controllanti devono verificare in base a tale data la validità della firma e le certificazioni). 3.6. Regole relative alle limitazioni algoritmiche e alle lunghezze delle chiavi Nel sistema d emissione fatture elettroniche della WizzAir Hungary Srl possono essere utilizzati esclusivamente i seguenti algoritmi per le firme con le minime lunghezze delle chiavi: Per la firma della fattura elettronica (certificazioni del cliente finale): RSA algoritmo di firma con un misura di chiave di 1024 bit, SHA-1 algoritmo che prepara la copia, PKCS #1 (emsa-pkcs1-v1_5) algoritmo riempitivo. Per la firma delle certificazioni degli utenti finali (certificazione del gestore): RSA algoritmo di firma con un misura di chiave di 2048 bit, SHA-1 algoritmo che prepara la copia, PKCS #1 (emsa-pkcs1-v1_5) algoritmo riempitivo. Per la firma delle liste di revoca (certificazione del gestore): RSA algoritmo di firma con un misura di chiave di 2048 bit, SHA-1 algoritmo che prepara la copia, PKCS #1 (emsa-pkcs1-v1_5) algoritmo riempitivo. Időbélyegzők aláírására (certificazione del gestore): RSA algoritmo di firma con un misura di chiave di 2048 bit, SHA-1 algoritmo che prepara la copia, PKCS #1 (emsa-pkcs1-v1_5) algoritmo riempitivo.
14 Signature Policy Per la firma delle certificazioni degli utenti finali e delle certificazioni del gestore utilizzate per le liste di revoca (1. Certificazione d origine): RSA algoritmo di firma con un misura di chiave di 1024 bit, MD5 algoritmo che prepara la copia, PKCS #1 (emsa-pkcs1-v1_5) algoritmo riempitivo. Per la firma della certificazione del gestore utilizzata per la firma del timbro della data (2. Certificazione d origine): RSA algoritmo di firma con un misura di chiave di 2048 bit, SHA-1 algoritmo che prepara la copia, PKCS #1 (emsa-pkcs1-v1_5) algoritmo riempitivo.
15 Signature Policy 4. Creazione della firma 4.1. Preparativi alla creazione della firma Nel sistema centrale della Parte che firma (WizzAir Hungary Srl) servono numerosi preparativi per l effettuabilità della firma delle fatture elettroniche. 4.1.1. Installazione del Modulo Integrato di Firma Marketline Nel sistema centrale della Parte che effettua la firma e il controllo iniziale delle fatture elettroniche con la partecipazione degli addetti allo sviluppo del programma occorre installare il Modulo Integrato di Firma Marketline. Durante l installazione occorre controllare il numero di versione del MultiSigno Developer utilizzato dal Modulo Integrato di Firma Marketline. 4.1.2. Generazione della chiave Le persone che firmano in nome della WizzAir Hungary Srl generano le chiavi utilizzate dal Modulo Integrato di Firma Marketline nell Explorer del computer tramite software, poi le installano sul server (DigSig) che fa girare il Modulo Integrato di Firma Marketline. Le regole della generazione ed archivio delle chiavi sono trattate dettagliatamente nel Regolamento di gestione chiavi del sistema d emissione delle fatture elettroniche della WizzAir Hungary Srl. 4.1.3. Installazione delle certificazioni d origine e del gestore Le certificazioni del gestore e d origine necessarie alla creazione delle firme e al controllo iniziale come certifiche affidabili devono essere archiviate nell archivio certifiche nei sistemi operativi Windows del computer che fa girare il Modulo Integrato di Firma Marketline perché così al controllo della firma non c è bisogno di controllarle manualmente. La scelta e l archiviazione sicura di tali certificazioni dal punto di vista della sicurezza del sistema è altamente importante. L archivio delle certificazioni può contenere come certificazioni affidabili soltanto le certificazioni del gestore e d origine che sono necessarie al funzionamento del sistema e quelle che sono indubbiamente identificabili secondo quanto descritto ai punti 3.4.1 e 3.5.1. Qualsiasi altra certificazione precedentemente installata deve essere cancellata dall archivio delle certificazioni e anche in futuro non può essere installata sul computer altra certificazione. Nel computer che fa girare il Modulo Integrato di Firma Marketline occorre garantire la sicurezza del sistema operativo e dell archivio certificazioni attraverso la tutela logistica e fisica del computer. Tale tutela deve garantire che non si possa cancellare e inserire in modo indebito certificazioni nell archivio certificazioni.
16 Signature Policy 4.2. Processo di creazione della firma 4.2.1. Concessione dati d'attivazione Il Modulo Integrato di Firma Marketline effettua le firme elettroniche automaticamente senza partecipazione e approvazione umana. I proprietari che conoscono i dati d attivazione all avvio del funzionamento devono prendersi cura dell attivazione delle chiavi private, conformemente alle prescrizioni del Regolamento di gestione delle chiavi del sistema d emissone fatture elettroniche della WizzAir Hungary Srl. 4.2.2. Creazione della firma Il Modulo Integrato di Firma Marketline crea le firme elettroniche tramite software senza un mezzo ulteriore di creazione firma. 4.2.3. Controllo iniziale della firma da parte di chi firma Dopo la scadenza del periodo d attesa calcolato dalla creazione della firma (vedi punto 3.5.3) il Modulo Integrato di Firma Marketline effettua un controllo iniziale della firma. La firma (e con essa la fattura elettronica firmata) può essere resa definitiva solo se il controllo iniziale della firma dà un risultato valido. 4.2.4. Validità della firma Il controllo iniziale della firma e con essa la creazione della firma è valida se le seguenti condizioni vengono realizzate nello stesso tempo: Il documento di firma non è un documento in bianco. La persona che firma dispone del dato per la creazione della firma (chiave privata). La persona che firma dispone della certificazione. Se la persona che firma dispone di più certificazioni e di più dati per la creazione della firma, prima deve scegliere tra questi. Il controllo della firma dà un risultato valido. La creazione della firma non è valida se si realizza una delle seguenti condizioni: Il documento di firma è un file vuoto. La persona che firma non dispone del dato per la creazione della firma (chiave privata). La persona che firma non dispone della certificazione. La persona dispone di più certificazioni e di dati per la creazione della firma e tra questi prima non ha fatto la scelta. Il controllo della firma dà un risultato non valido. Lo scarico della lista di revoca non è riuscito e perciò il controllo della firma dà un risultato incompiuto.
17 Signature Policy Se la creazione della firma non è valida il dato da firmare non viene inoltrato dal sistema e la persona che firma riceve un messaggio d avviso al riguardo. 4.3. Particolari regole di revoca e sospensione La Parti che firmano (le persone che firmano in nome della WizzAir Hungary Srl) in caso di revoca o sospensione della loro certificazione, in base al contenuto del Regolamento di Certificazione della Matáv, devono avvisare il Centro Assistenza della Matáv Spa e l unità organizzativa che gestisce il sistema d emissione fatture elettroniche della WizzAir Hungary Srl in quanto la revoca o la sospensione è realizzata per un motivo dove l abuso della firma della persona interessata non è da escludere, la persona che firma deve fare tutto per escludere eventuali abusi.
18 Signature Policy 5. Controllo della firma 5.1. Preparativi al controllo della firma Nel computer della parte che controlla (chi riceve la fattura elettronica) sono necessari vari preparativi per la controllabilità della firma delle fatture elettroniche. 5.1.1. Installazione del Verify Bisogna installare sul computer che effettua il controllo delle fatture elettroniche il programma MultiSigno Verify. Il programma può essere scaricato dal sito http://www.kopdat.hu/multisigno o da http://www.multisigno.hu. 5.1.2. Installazione delle certificazioni d origine e del gestore. Bisogna conservare nell archivio certificazioni del sistema operativo Windows, che fa girare Verify che effettua il controllo come certificazione affidabile, le certificazioni d origine e del gestore necessarie al controllo delle firme, di modo che al momento del controllo della firma non si debba controllarle ogni volta manualmente. La selezione e la conservazione sicura delle certificazioni è d importanza fondamentale per la sicurezza del sistema. L archivio certificazioni deve contenere tutte le certificazioni del gestore e d origine necessarie al funzionamento del sistema e chiaramente identificabili secondo quanto descritto ai punti 3.4.1 e 3.5.1. Queste certificazioni sono scaricabili dall archivio e dalla home page della Matáv (in formato PKCS#7 e CRT) dal seguente sito web: http://www.eszigno.matav.hu al punto del menu Archivio certificazioni e registrazioni. L archivio certificazioni del computer che effettua il controllo deve contenere anche altre certificazioni necessarie per altri motivi a chi controlla. Responsabile della manutenzione dell archivio certificazioni è la parte che controlla. La parte che controlla deve prendersi cura della sicurezza dell archivio certificazioni tramite la protezione fisica e logistica del sistema operativo del computer che fa girare il programma Verify e del computer stesso. Questa protezione deve garantire che in maniera indebita non si possano cancellare certificazioni dall archivio e né inserirvi certificazioni.
19 Signature Policy 5.2. Processo di controllo della firma 5.2.1. Dati di convalida della firma I seguenti dati necessari per il controllo delle firme giungono a chi controlla come parte della firma: Certificazione del cliente finale, Timbratura della data, Lista di revoca. I seguenti dati necessari per il controllo delle firme sono a disposizione della parte che controlla a seguito della previa installazione delle certificazioni del gestore e d origine (vedi punto 5.1.2): Certificazione del gestore appartenente alla chiave di firma della certificazione del cliente finale e della lista di revoca (vedi punto 3.4.1), 1. certificazione d origine appartenente alla chiave di firma della certificazione del gestore (vedi punto 3.4.1), Certificazione del gestore appartenente alla chiave di firma della timbratura della data (vedi punto 3.5.1), 2. certificazione d origine appartenente alla chiave di firma della certificazione del gestore (vedi punto 3.5.1). 5.2.2. Validità della firma Il controllo della firma, eseguito dalle Parti controllanti, dà un risultato valido se le seguenti condizioni si realizzano insieme: La certificazione del cliente finale, il timbro della data e la lista di revoca sono recuperabili dall insieme dei dati firmati (in seguito occorre utilizzare questi per il controllo). Il controllo della firma effettuato con la chiave e gli algoritmi pubblici trovati nella certificazione del cliente finale danno un risultato valido. Nella catena di certificazione della certificazione del cliente finale, le certificazioni adeguate del gestore e d origine sono recuperabili dall archivio locale delle certificazioni (in seguito occorre utilizzare queste per il controllo). Il controllo delle firme che si trovano sulle certificazioni del cliente finale, del gestore e d origine dà un risultato valido. La data d emissione della lista di revoca relativa alla certificazione del cliente finale è posteriore rispetto alla data della firma (ossia la data del timbro della data). Le certificazioni del gestore e d origine necessarie al controllo della lista di revoca sono recuperabili dall archivo locale delle certificazioni (in seguito occorre utilizzare queste per il controllo). Il controllo delle firme delle certificazioni del gestore e d origine necessarie al controllo della lista di revoca dà un risultato valido. La lista di revoca non contiene la certificazione del cliente finale controllata né in stato sospeso né revocato. Le certificazioni del gestore e d origine necessarie al controllo del timbro della data sono recuperabili dall archivio locale delle certificazioni. (in seguito occorre utilizzare queste per il controllo).
20 Signature Policy Il controllo delle firme delle certificazioni del gestore e d origine necessarie al controllo del timbro della data dà un risultato valido. Il valore di copia del timbro della data è uguale alla copia della firma. Durante il processo di controllo, al controllo di tutte le certificazioni, l applicazione deve controllare i seguenti dati della certificazione: Validità (Tra le date di validità della certificazione c è la data della firma?) Soggetto (È conforme alle prescrizioni del Regolamento della firma?) L applicazione non deve verificare e considerare il limite finanziario che si trova eventualmente nella certificazione. Al controllo e all interpretazione delle certificazioni occorre prendere provvedimenti secondo il contenuto del Regolamento d Autenticazione e di Certificazione della Matáv.
21 Signature Policy 6. Definizioni Nel regolamento di firma i seguenti concetti hanno il seguente significato: Dato da firmare Insieme di: documento di firma, caratteristiche di firma e opzionalmente altre informazioni da firmare. Processo di controllo firma processo che convalida una firma elettronica conformemente ai requisiti del regolamento di firma (eventualmente di quello d Autenticazione o del Gestore). Caratteristiche di firma dati complementari della firma che vengono firmati insieme al documento di firma conformemente al regolamento di firma. Applicazione di gestione firma è un applicazione che sostiene la creazione e/o il controllo della firma. Dato di creazione firma Chiave privata adatta alla creazione della firma elettronica Algoritmo di firma Processo criptografico a chiave pubblica che effettua la codificazione della copia con l aiuto della chiave privata. Mezzo di firma è un mezzo hardware che effettua la firma elettronica con l aiuto del dato di creazione firma archiviato sul mezzo. Caratteristicamente è una scheda intelligente. Parte che firma è una persona fisica o un applicazione che firma una transazione e un documento. Documento di firma documento con qualsiasi contenuto che la Parte che firma intende firmare. Insieme firmato dei dati Insieme dei campi della firma elettronica e del dato formattato da firmare e delle altri informazioni non fornite di firma. Applet Applicazione da scaricare sul computer del cliente che viene girata dall explorer. Punto di confidenza L elemento superiore della catena di certificazione è il punto di confidenza. Praticamente consiste d un insieme della certificazione d origine e di altri dati complementari. La confidenza verso ciò significa la confidenza anche per ogni certificazione (del gestore e del cliente finale) autenticata da tale punto. Firma digitale Valore codificato con algoritmo di firma della copia.
22 Signature Policy Parte controllante Persona fisica o applicazione che controlla la firma in una transazione e in un documento. Dati di convalida Dati contemplanti la firma che servono per decidere se la firma elettronica è conforme ai requisiti del regolamento di firma. Può contenere certificazioni, informazioni di stato di revoca (relativamente alla persona che firma e al gestore d autenticazione), inoltre timbri della data e segnalazione della data derivanti dai gestori dei timbri della data. Il dato di convalida deve certificare che al momento della creazione della firma la catena totale di certificazioni utilizzate nel processo era valida. Dato formattato da firmare Il dato da firmare è formattato secondo il regolamento di firma. Unità d autenticazione d origine L unità (hardware-software) del gestore d autenticazione che effettua l emissione delle certificazioni del gestore stesso e delle liste di revoca relative. Certificazione d origine È una certificazione non autenticata da un altra certificazione. È controllabile dalla chiave pubblica che si trova dentro, per tale motivo si chiama anche certificazione autoautenticata. Gestore autenticato È un ente che emette certificazioni elettroniche e sostiene anche il management delle certificazioni (nel caso del presente sistema di firma la Matáv Spa). Servizio di timbratura data: Servizio relativo alla firma elettronica durante il quale il gestore collega un timbro della data ai documenti elettronici firmati elettronicamente. Timbro della data: Dato definitivamente abbinato o collegato logicamente al documento elettronico che certifica che il documento elettronico alla data dell inserimento del timbro della data esisteva in forma invariata. Controllo iniziale Processo da effettuare dopo la creazione della firma nell interesse della conferma della firma con la raccolta di informazioni complementari necessarie al sostegno dei controlli ulteriori. Periodo d attesa Una firma elettronica è da considerare valida se la parte controllante si assicura che la persona che firma aveva veramente in possesso la chiave privata al momento della firma. Però tra la compromissione, la perdita della chiave e la relazione relativa passa involontariamente un
23 Signature Policy certo periodo. Perciò occorre aspettare un cosiddetto periodo d attesa (il cui valore è definito dal regolamento di firma), e solo dopo la scadenza di questo è possibile effettuare con successo il controllo iniziale della firma. Copia È una caratteristica del documento di firma, un dato breve creato da questo con algoritmo hash. Chiave privata Chiave necessaria per la creazione della firma, praticamente un complesso dati singolo. Vedi dato di creazione firma. MultiSigno Developer In questo set di sviluppo applicazioni (API) - implementato in forma DLL vengono realizzati procedimenti base di controllo firmatore e firma. MultiSigno Developer è un prodotto Kopint-Datorg spa. Unità d autentica emissioni del gestore Unità (hardware-software) del gestore d autentiche che effettua le emissioni di certificazioni e di liste di revoca. Certificazioni del gestore Complesso dati contenente dati necessari per la chiave pubblica e il suo utilizzo necessario al controllo della firma delle certificazioni del cliente finale, firmato dall unità emittente autentiche d origine. Catena di certificazione Gerarchia (catena) di certificazioni certificantisi l un l altra. In fondo alla gerarchia c è la certificazione di chi firma, sopra la certificazione dell unità che autentica la firma di questa certificazione, al di sopra la certificazione dell altra unità che autentica l unità d autentica. La serie si può ripetere fino all unità d autentica d origine che si trova in cima alla catena. Transazione Operazione di mercato che appare come messaggio nel sistema informatico (per i tipi validi nel caso del sistema ISZR vedi capitolo 3.). Controllo posteriore Procedimento diretto alla valutazione della validità della firma da eseguire a seguito dell applicazione iniziale d una firma che si basa sui dati ottenuti durante il controllo iniziale. Certificazione del cliente finale Complesso dati comprendente la chiave pubblica e i dati necessari al suo utilizzo necessari per il controllo della firma, firmata dal gestore emittente autentiche.
24 Signature Policy Lista di revoca Lista elettronica comprendente gli identificativi delle certificazioni del cliente finale revocate o sospese per qualsiasi motivo, firmata, emessa e aggiornata dal gestore autentiche.