Đăng ký
  1. Trang chủ
  2. » Thể loại khác

QUY CHẾ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG FPT.CA THEO TIÊU CHUẨN SHA-256

80 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT QUY CHẾ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG FPT.CA THEO TIÊU CHUẨN SHA-256 ***** Certificate Practices Statement (CPS) Hà nội, tháng 08/2020 Dịch vụ chứng thực chữ ký số công cộng FPT.CA MỤC LỤC I KHÁI QUÁT CHUNG 11 I.1 Giới thiệu 11 I.2 Các loại chứng thư dịch vụ FPT.CA 12 I.3 Quy trình hoạt động FPT.CA 12 I.3.1 Định nghĩa 12 I.3.2 Quy trình hoạt động 14 I.3.3 Các yêu cầu chứng thư số 16 I.4 Chính sách quản trị 17 II I.4.1 Tổ chức quản lý văn 17 I.4.2 Liên hệ 17 I.4.3 Tổ chức xác định CPS phù hợp với sách 17 I.4.4 Thủ tục phê chuẩn CPS 17 CÔNG BỐ VÀ LƯU TRỮ 18 II.1 Công bố thông tin chứng thư 18 II.2 Lưu trữ 18 II.3 Chu kỳ phát hành thông tin chứng thư 20 II.4 Quyền truy cập kho lưu trữ chứng thư 20 III NHẬN DẠNG VÀ XÁC THỰC 22 III.1 Đặt tên 22 III.1.1 Kiểu tên 22 III.1.2 Tính tên thuê bao 22 III.1.3 Nhận dạng, xác thực vai trò thương hiệu 22 III.2 Xác định danh tính thuê bao 23 III.2.1 Xác thực danh tính cá nhân 23 III.2.2 Xác thực danh tính tổ chức, doanh nghiệp 23 III.2.3 Chứng minh quyền sở hữu khóa bí mật 24 III.2.4 Những thông tin thuê bao không xác thực 24 Dịch vụ chứng thực chữ ký số công cộng FPT.CA III.2.5 Các tiêu chí hoạt động 24 III.3 Nhận diện xác thực yêu cầu cấp lại khóa (Re-key) 24 III.3.1 Quy trình nhận diện xác thực thủ tục cấp lại khoá (Re-key) 24 III.3.2 Nhận diện xác thực việc cấp lại khoá sau bị thu hồi (Renewal) 24 III.4 Nhận diện xác thực với yêu cầu thu hồi chứng thư 25 IV THỦ TỤC, QUY TRÌNH CẤP,GIA HẠN CHỨNG THƯ SỐ 26 IV.1 Thủ tục xin cấp/gia hạn chứng thư số 26 IV.1.1 Các đối tượng xin cấp chứng thư 26 IV.1.2 Hồ sơ xin cấp chứng thư số 26 IV.1.3 Hồ sơ xin gia hạn chứng thư số 26 IV.1.4 Tiến trình xử lý trách nhiệm thuê bao chứng thư 26 IV.2 Xứ lý đơn xin cấp chứng thư 27 IV.2.1 Chức nhận biết xác thực 27 IV.2.2 Phê duyệt từ chối đơn xin cấp, gia hạn chứng thư 27 IV.2.3 Thời gian xử lý đơn xin cấp, gia hạn chứng thư 27 IV.3 Công bố chứng thư 27 IV.3.1 Hoạt động FPT suốt trình phát hành chứng thư 27 IV.3.2 Thông báo FPT đến thuê bao việc cấp chứng thư 28 IV.4 Chấp nhận chứng thư 28 IV.4.1 Điều kiện chứng minh việc chấp thuận chứng thư 28 IV.4.2 Công khai chứng thư FPT 28 IV.4.3 Thông báo phát hành chứng thư đến đối tượng khác 28 IV.5 Cách sử dụng cặp khoá chứng thư 28 IV.5.1 Cách sử dụng chứng thư khố bí mật thuê bao 28 IV.5.2 Cách sử dụng chứng thư khố cơng khai đối tác tin cậy28 IV.6 Khôi phục chứng thư 29 IV.6.1 Trường hợp cần khôi phục chứng thư 29 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IV.6.2 Đối tượng yêu cầu khôi phục chứng thư 29 IV.6.3 Quy trình xử lý u cầu khơi phục chứng thư 30 IV.6.4 Thông báo việc cấp chứng thư tới khách hàng 30 IV.6.5 Điền kiện chấp nhận khôi phục chứng thư 30 IV.6.6 FPT công bố chứng thư khôi phục 30 IV.6.7 Thông báo việc cấp chứng thư FPT đến đối tượng khác 30 IV.7 Khôi phục khoá chứng thư 30 IV.7.1 Trường hợp khôi phục khoá chứng thư 31 IV.7.2 Đối tuợng u cầu khơi phục khố chứng thư 31 IV.7.3 Xử lý yêu cầu khơi phục khố cho chứng thư 31 IV.7.4 Thông báo phát hành chứng thư tới thuê bao 31 IV.7.5 Thông báo chấp nhận khôi phục khoá chứng thư 31 IV.7.6 Việc phát hành chứng thư khơi phục khố FPT 31 IV.7.7 Thông báo cấp chứng thư FPT tới đối tượng khác 31 IV.7.8 Quy trình kiểm tra chứng thư số hợp lệ 31 IV.8 Sửa đổi chứng thư 32 IV.8.1 Các trường hợp sửa đổi chứng thư 32 IV.8.2 Đối tượng yêu cầu sửa đổi chứng thư 32 IV.8.3 Quá trình xử lý yêu cầu sửa đổi chứng thư 32 IV.8.4 Điều kiện chấp nhận sửa đổi thuê bao 32 IV.8.5 Việc phát hành chứng thư sửa đổi từ FPT 33 IV.8.6 Thông báo phát hành chứng thư FPT tới đối tượng khác 33 IV.9 Thu hồi tạm dừng chứng thư 33 IV.9.1 Các trường hợp thu hồi 33 IV.9.2 Đối tượng yêu cầu thu hồi 34 IV.9.3 Thủ tục yêu cầu thu hồi chứng thư 34 IV.9.4 Thời gian cho yêu cầu thu hồi chứng thư 35 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IV.9.5 Chu kỳ cấp phát CRL 35 IV.9.6 Thời gian trễ tối đa cho CRL 35 IV.9.7 Dịch vụ kiểm tra trạng thái chứng thư số trực tuyến OCSP 35 IV.9.8 Những yêu cầu đặc biệt liên quan đến vấn đề bị lộ khoá 35 IV.10 Dịch vụ kiểm tra trạng thái chứng thư số 36 IV.10.1 Dịch vụ hỗ trợ 36 IV.10.2 Các đặc tính tuỳ chọn 36 IV.11 Kết thúc hợp đồng 36 IV.12 Cam kết khôi phục khoá 36 IV.12.1 Cam kết nghĩa vụ thuê bao đăng ký chứng thư số 36 IV.12.2 Lưu trữ khố, sách khơi phục khố cách thức thực 37 V KIỂM SOÁT BẢO MẬT HỆ THỐNG FPT.CA 39 V.1 Tạo cặp khoá cài đặt 39 V.1.1 Tạo cặp khoá 39 V.1.2 Chuyển giao khố bí mật cho thuê bao 39 V.1.3 Chuyển giao khố cơng khai tới tổ chức ban hành chứng thư 40 V.1.4 Chuyển giao khố cơng khai CA tới đối tác tin cậy 40 V.1.5 Kích thước khố 40 V.1.6 Tạo tham số cho khố cơng khai kiểm tra chất lượng 40 V.2 Bảo vệ khố bí mật kiểm sốt phương thức mã hoá 41 V.2.1 Kiểm sốt chuẩn hố mơ đun mã hố 41 V.2.2 Đa kiểm sốt khố bí mật (m out of n) 41 V.2.3 Sao lưu dự phịng khố bí mật 41 V.2.4 Lưu trữ khố bí mật 42 V.2.5 Cách thức khố bí mật chuyển đến từ mơ đun mã hố 42 V.2.6 Cách thức lưu trữ khố bí mật mơ đun mã hố 43 V.2.7 Mơ đun mã hố RA 43 Dịch vụ chứng thực chữ ký số công cộng FPT.CA V.2.8 Huỷ khóa bí mật 43 V.2.9 Xử lý lộ khóa bí mật 43 V.3 Một số vấn đề khác việc quản lý cặp khoá 44 V.3.1 Thời gian hoạt động chứng thư cặp khố 44 V.4 Dữ liệu kích hoạt 45 V.4.1 Quá trình tạo cài đặt liệu kích hoạt 45 V.4.2 Bảo vệ liệu kích hoạt 45 V.4.3 Các vấn đề khác liệu kích hoạt 46 V.5 Kiểm soát bảo mật máy tính 47 V.6 Kiểm soát chu kỳ kỹ thuật 47 V.6.1 Kiểm soát vấn đề quản lý bảo mật 47 V.7 Bảo mật mạng cho hệ thống FPT.CA 48 VI PHƯƠNG TIỆN, VẤN ĐỀ QUẢN LÝ VÀ ĐIỀU HÀNH HOẠT ĐỘNG 50 VI.1 Kiểm soát bảo mật mức vật lý 50 VI.1.1 Cấu trúc khoanh vùng 50 VI.1.2 Truy cập vật lý 50 VI.1.3 Điều kiện khơng khí, nguồn điện, phịng tránh thảm họa 51 VI.1.4 Phương tiện lưu trữ 51 VI.1.5 Bảo mật thông tin tiêu huỷ rác 51 VI.1.6 Dự phòng từ xa 51 VI.2 Các kiểm soát thủ tục 52 VI.2.1 Các thành viên trực thuộc tổ chức 52 VI.2.2 Số lượng thành viên cho công việc 52 VI.2.3 Nhận dạng xác thực cho thành viên 53 VI.2.4 Phân chia trách nhiệm 53 VI.3 Kiểm soát nhân 53 VI.3.1 Quy trình kiểm tra lai lịch 54 VI.3.2 Yêu cầu đào tạo 55 Dịch vụ chứng thực chữ ký số công cộng FPT.CA VI.3.3 Kỷ luật hoạt động không hợp pháp 55 VI.3.4 Yêu cầu nhà thầu độc lập 55 VI.3.5 Cung cấp tài liệu cho nhân viên 55 VI.4 Kiểm tra truy cập 56 VI.4.1 Các loại ghi kiện 56 VI.4.2 Xử lý ghi kiện 56 VI.4.3 Thời gian trì lưu trữ cho ghi kiểm định 57 VI.4.4 Bảo vệ ghi kiểm định 57 VI.4.5 Thủ tục lưu dự phòng cho bảng ghi kiểm định 57 VI.4.6 Đánh giá điểm yếu 57 VI.5 Lưu trữ ghi 57 VI.5.1 Những kiểu ghi lưu trữ cho dịch vụ FPT.CA: 57 VI.5.2 Thời gian trì tài liệu lưu trữ 57 VI.5.3 Bảo mật tài liệu lưu trữ 57 VI.5.4 Thủ tục lưu dự phòng liệu 58 VI.5.5 Yêu cầu thời gian cho liệu 58 VI.5.6 Hệ thống thu nhập liệu lưu trữ 58 VI.5.7 Thủ tục thu nhập kiểm tra thông tin lưu trữ 58 VI.6 Thay đổi khóa 58 VI.7 Thoả thuận khôi phục sau thảm họa 59 VI.7.1 Các thủ tục xử lý vấn đề lộ khoá cố 59 VI.7.2 Hành vi tiêu cực tài nguyên máy tính, phần mềm liệu59 VI.7.3 Lộ khố bí mật CA 59 VI.7.4 Khả trì liên tục kinh doanh sau thảm hoạ 59 VI.8 Kết thúc hoạt động CA hay RA 60 VII KHUÔN DẠNG CỦA CHỨNG THƯ, CRT, VÀ OCSP 62 VII.1 Khuôn dạng chứng thư 62 VII.1.1 Phiên 62 Dịch vụ chứng thực chữ ký số công cộng FPT.CA VII.1.2 Phần mở rộng chứng thư 63 VII.1.3 Thuật toán nhận biết dối tượng 64 VII.1.4 Cấu trúc tên 64 VII.1.5 Ràng buộc tên 64 VII.1.6 Chính sách nhận biết đối tượng 64 VII.1.7 Cách dùng mở rộng sách ràng buộc 65 VII.1.8 Chính sách hạn định cấu trúc ngữ nghĩa 65 VII.2 Khuôn dạng danh sách thu hồi chứng thư CRL 65 VIII KIỂM ĐỊNH TÍNH TUÂN THỦ VÀ CÁC ĐÁNH GIÁ KHÁC 67 VIII.1 Tần suất trường hợp đánh giá 67 VIII.2 Danh tính khả người kiểm toán 67 VIII.3 Mối quan hệ kiểm toán viên thực thể kiểm toán 68 VIII.4 Những đối tượng trình đánh giá 68 VIII.5 Giải kết bị đánh giá thiếu sót 68 VIII.6 Thông báo kết 69 IX CÁC VẤN ĐỀ THƯƠNG MẠI VÀ PHÁP LÝ KHÁC 70 IX.1 Lệ phí 70 IX.1.1 Lệ phí cấp Chứng thư gia hạn Chứng thư 70 IX.1.2 Lệ phí sử dụng Chứng thư 70 IX.1.3 Phí truy cập thơng tin trạng thái chứng thư việc thu hồi chứng thư 70 IX.1.4 Lệ phí sử dụng cho dịch vụ khác 70 IX.1.5 Chính sách hồn trả phí 70 IX.2 Trách nhiệm tài 70 IX.2.1 Bảo hiểm 70 IX.2.2 Các tài sản khác 71 IX.2.3 Thông tin bảo đảm mở rộng 71 IX.3 Tính bảo mật thông tin kinh doanh 72 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.3.1 Phạm vi thông tin cần bảo mật 72 IX.3.2 Thông tin không nằm phạm vi q trình đảm bảo tính mật 72 IX.3.3 Trách nhiệm bảo vệ thông tin mật 72 IX.4 Tính bí mật thơng tin cá nhân 72 IX.4.1 Kế hoạch đảm bảo tính riêng tư 72 IX.4.2 Thông tin riêng tư 73 IX.4.3 Thông tin không riêng tư 73 IX.4.4 Trách nhiệm bảo vệ thông tin riêng tư 73 IX.4.5 Thông báo cho phép sử dụng thông tin mật 73 IX.5 Cung cấp thông tin 73 IX.5.1 Những trường hợp làm lộ thông tin khác 73 IX.6 Quyền sở hữu trí tuệ 73 IX.6.1 Quyền sở hữu chứng thư thông tin thu hồi chứng thư 73 IX.6.2 Quyền sở hữu CPS 74 IX.6.3 Quyền sở hữu tên 74 IX.6.4 Quyền sở hữu khoá tài liệu khoá 74 IX.7 Vấn đề đại diện bảo lãnh 74 IX.7.1 Đại diện CA vấn đề bảo lãnh 74 IX.7.2 Đại diện RA vấn đề bảo lãnh 74 IX.7.3 Đại diện khách hàng bảo lãnh 75 IX.7.4 Đại diện cho đối tác tin cậy vấn đề bảo lãnh 75 IX.8 Vấn đề bồi thường 75 IX.8.1 Vấn đề bồi thường khách hàng 75 IX.8.2 Vấn đề bồi thường đối tác tin cậy 76 IX.9 Thời hạn 76 IX.9.1 IX.10 Thời hạn 76 Sự kết thúc 76 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.10.1 Sự kết thúc 76 IX.10.2 Ảnh hưởng kết thúc tồn 76 IX.11 Thông báo riêng thỏa thuận bên 77 IX.12 Sự sửa đổi 77 IX.12.1 Các thủ tục sửa đổi 77 IX.13 Các trường hợp cần sửa đổi nhận diện đối tượng (OID) 77 IX.13.1 Cách thức thời hạn thông báo 77 IX.14 Thủ tục tranh chấp 78 IX.14.1 Thủ tục tranh chấp FPT, cộng tác thuê bao 78 IX.14.2 Thủ tục tranh chấp thuê bao đối tác tin cậy 78 IX.15 Luật quản trị 78 IX.16 Sự tuân thủ luật 78 IX.16.1 Trách nhiệm 78 IX.16.2 Tính độc lập điều khoản 79 IX.16.3 Sự thực thi (quyền ủy nhiệm quyền khước từ) 79 IX.16.4 Chính sách bắt buộc thực thi 79 IX.17 Các quy định khác 79 IX.17.1 Nhiệm vụ, vai trò, trách nhiệm hệ thống FPT.CA 79 IX.17.2 Nhiệm vụ, vai trò trách nhiệm thuê bao 79 10 Dịch vụ chứng thực chữ ký số công cộng FPT.CA rộng khác.) Các thông tin mở rộng khác sử dụng để cung cấp thông tin bổ sung Trường xuất CRL phiên Những trường mở rộng phổ biến sử dụng bao gồm:  CRL number: Số phát hành CRL  Authority key identifier: Chúng ta biết CA có nhiều cặp khóa khác trường giúp người dùng biết cần chọn lựa khố cơng khai để xác thực chữ ký số CA ký CRL để xác định độ tin cậy CRL  Issuer alternative name: Trường Issuer chứa thông tin tên chuẩn X.500 CA phát hành CRL, nhiên số ứng dụng đặc biết khơng thể hiểu chuẩn đặt tên Do trường Issuer alternative name chứa thông tin CA phát hành CRL theo cú pháp thích hợp khác Ví dụ…dạng DNS hay email chẳng hạn: CA1@xyz.vn  Issuing distribution points: Trường để kết hợp với trường mở rộng CRL distribution point chứng thư X.509  Reason code: Trường dùng để đưa lý chứng thư cụ thể bị thu hồi (Nhằm giúp người dùng xử lý mềm dẻo hơn)  Certificate issuer: Đơi CA chuyển chức phát hành CRL với chứng thư mà phát hành cho CA khác Trường dùng để xem thông tin CA phát hành chứng thực xuất CRL 66 Dịch vụ chứng thực chữ ký số công cộng FPT.CA VIII KIỂM ĐỊNH TÍNH TUÂN THỦ VÀ CÁC ĐÁNH GIÁ KHÁC FPT tiến hành kiểm toán định kỳ nhằm đảm bảo việc tuân thủ tiêu chuẩn dịch vụ FPT.CA sau vào hoạt động Bên cạnh đó, tiêu chuẩn dịch vụ FPT.CA dùng để tiến hành đánh giá tra nhằm đảm bảo tính trung thực FPT, bao gồm điều sau: Các tiêu chuẩn dịch vụ FPT.CA dùng để tra hay đánh giá FPT, hay thuê bao doanh nghiệp Trong trường hợp FPT Superior Entity kiểm tra kết cho thấy thực thể không đạt tiêu chuẩn dịch vụ FPT.CA, tiếp tục hoạt động không hoạt động tuỳ thuộc vào mức độ hậu tổn thất gây Những lỗi hay tổn thất, cho thấy mối đe doạ tiềm ẩn thực an ninh hay tính tồn vẹn FPT.CA Các tiêu chuẩn dịch vụ FPT.CA dùng để tiến hành đánh giá quản lý rủi ro bổ sung FPT hay thuê bao theo phát việc không tuân thủ đầy đủ có ngoại lệ kết kiểm tốn q trình tn thủ phần q trình quản lý rủi ro tổng thể Các tiêu chuẩn dịch vụ FPT.CA dùng để tiến hành kiểm toán, đánh giá tra thực thể hãng kiểm tốn đóng vai trị bên thứ Các thực thể chịu kiểm toán, đánh giá tra phải hợp tác với FPT để tiến hành kiểm toán, đánh giá tra VIII.1 Tần suất trường hợp đánh giá Các kiểm soát q trình tn thủ tiến hành năm lần với chi phí phụ thuộc thực thể kiểm tốn VIII.2 Danh tính khả người kiểm tốn Hãng kiểm tốn đóng vai trị bên thứ tiến hành kiểm toán trình tuân thủ FPT Việc đánh giá kiểm tốn lại kiểm tra cơng ty kế toán nhà nước cấp chứng thư giám định an ninh máy tính chun gia có uy tín an ninh máy tính ban cố vấn an ninh định Cơng ty phải giám định an ninh công nghệ thông tin việc thực PKI 67 Dịch vụ chứng thực chữ ký số công cộng FPT.CA VIII.3 Mối quan hệ kiểm toán viên thực thể kiểm toán Việc kiểm toán mà thực hãng kiểm tốn đóng vai trị bên thứ tiến hành kiểm tra hãng độc lập với thực thể kiểm toán Sẽ khơng có tranh cãi lợi ích gây cản trở tới việc thực dịch vụ kiểm tốn VIII.4 Những đối tượng q trình đánh giá Chủ thể kiểm toán loại thực thể đưa Thực thể kiểm tra tiến hành kiểm tốn việc thực theo mơ phần kiểm tra tổng thể hàng năm hệ thống thơng tin thực thể FPT kiểm tốn dựa theo hướng dẫn có tuyên bố số 70 chuẩn kiểm toán (SAS) Viện kế tốn cơng chứng Hoa Kỳ (American Institule of Certificate Public Accounts) đưa báo cáo trình giao dịch tổ chức dịch vụ VIII.5 Giải kết bị đánh giá thiếu sót Sau nhận báo cáo kiểm toán, SE thực thể kiểm toán liên lạc với bên kiểm toán để thảo luận trường hợp ngoại lệ thiếu sót mà kết kiểm toán Các tiêu chuẩn dịch vụ FPT.CA sử dụng để thảo luận trường hợp ngoại lệ thiết sót với bên kiểm toán Thực thể đuợc kiểm toán SE dùng nỗ lực thương mại để thoả thuận kế hoạch hành động đắn để giải vấn đề trường hợp ngoại lệ thiếu sót gây để thực kế hoạch Trong trường hợp bên thực thể kiểm toán thất bại việc đưa kế hoạch hành động thất bại việc thực nó, báo cáo ngoại lệ thiếu sót mà FPT SE tin chúng mối đe doạ tức tới an ninh tính thống FPT: (a) FPT SE khẳng định có cần thiết phải thu hồi hay thoả hiệp báo cáo hay không (b) FPT SE phép tạm dừng dịch vụ để tiến hành kiểm toán (c) Nếu cần thiết, FPT SE chấm dứt dịch vụ điều khoản hợp đồng thực thể kiểm tốn SE 68 Dịch vụ chứng thực chữ ký số công cộng FPT.CA VIII.6 Thơng báo kết Theo kiểm tốn bên thực thể kiểm toán cung cấp cho FPT SE (nếu SE FPT) báo cáo chứng nhận hàng năm dựa kết kiểm toán tự kiểm tốn vịng 14 ngày sau kết thúc kiểm tốn khơng q 44 ngày sau ngày bắt đầu hoạt động 69 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX CÁC VẤN ĐỀ THƯƠNG MẠI VÀ PHÁP LÝ KHÁC IX.1 Lệ phí IX.1.1 Lệ phí cấp Chứng thư gia hạn Chứng thư Khách hàng sử dụng dịch vụ FPT.CA phải trả phí xin cấp chứng thư, quản lý tạo chứng thư cho nhà cung cấp IX.1.2 Lệ phí sử dụng Chứng thư Các thuê bao dịch vụ FPT.CA RA khơng phải trả phí để tạo kho chứng thư hay dịch vụ cung cấp thông tin chứng thư trực tuyến cho đối tác tin cậy IX.1.3 Phí truy cập thông tin trạng thái chứng thư việc thu hồi chứng thư Các thành phần tham gia dịch vụ FPT.CA khơng phải trả phí cho việc tạo CRLs Tuy nhiên CA trả phí cung cấp dịch vụ CRLs, OCSP dịch vụ thu hồi giá trị gia tăng, dịch vụ cung cấp thơng tin trạng thái khác IX.1.4 Lệ phí sử dụng cho dịch vụ khác Các thành phần tham gia dịch vụ FPT.CA khơng phải trả phí truy cập CP CPS Việc sử dụng văn với mục đích khác chép, phân bổ lại, sửa chữa tạo công viên phát sinh phải tuân theo thoả thuận hợp pháp với người nắm giữ quyền văn IX.1.5 Chính sách hồn trả phí FPT đưa phạm vi cho việc áp dụng sách hồn trả phí Chính sách đưa lên website (bao gồm danh sách kho liệu), đưa vào thoả thuận với khách hàng hay đưa vào CPS IX.2 Trách nhiệm tài IX.2.1 Bảo hiểm FPT trình tính thương mại hợp lý cho mức bảo hiểm lỗi hay thiếu sót, thơng qua chương trình bảo hiểm lỗi hay thiếu sót với hãng bảo hiểm tự cam kết bảo hiểm Các yêu cầu bảo hiểm khơng áp dụng với tổ chức trị 70 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.2.1.1 Các trường hợp FPT tiến hành đề bù bảo hiểm mức đền bù bảo hiểm FPT tiến hành đền bù bảo hiểm cho trường hợp sau:  Lỗi CA gây ra, bao gồm lỗi kỹ thuật phát hành chứng thư theo trách nhiệm CA  FPT đưa mức đền bù bảo hiểm theo mức bảo hiểm chứng thư khác  Việc đề bù bảo hiểm thực theo hợp đồng với thuê bao IX.2.1.2 Các trường hợp không hưởng đền bù bảo hiểm FPT không chịu trách nhiệm trường hợp:  Các trường hợp sử dụng chứng thư không đề cập đến CP, CPS  Các trường hợp giả mạo xử lý chứng thư  Các trường hợp sử dụng, cấu hình thiết bị không phù hợp, không nằm trách nhiệm CA sử dụng trình xử lý chứng thư  Khóa bí mật bị mất, bị phá huỷ khách hàng  Khách hàng đánh để lộ code PIN bảo vệ khố bí mật  Lỗi RA, bao gồm lỗi xác thực việc nhận biết liệu, số chứng thư, giá trị khố cơng khai, RA khơng gửi u cầu phù hợp Khi có lỗi xảy ra, RA chịu hoàn toàn trách nhiệm với khách hàng.Việc đề bù thực theo hợp đồng với thuê bao IX.2.2 Các tài sản khác FPT có quền tự chủ tài để trì hoạt động thực nhiệm vụ mình, đồng thời có trách nhiệm pháp lý rủi ro cho thuê bao đối tác tin cậy IX.2.3 Thông tin bảo đảm mở rộng FPT đưa chương trình bảo đảm mở rộng cung cấp SSL bảo vệ chữ ký số không bị hay phá huỷ từ thiếu sót q trình cấp chứng nhận từ việc vi phạm hợp đồng FPT đưa chương trình bảo đảm mở rộng yêu cầu CPS 71 Dịch vụ chứng thực chữ ký số cơng cộng FPT.CA IX.3 Tính bảo mật thông tin kinh doanh IX.3.1 Phạm vi thông tin cần bảo mật Những liệu sau thuê bao, đề cập đến mục 9.3.2 đảm bảo tính mật riêng tư (“thơng tin mật/riêng tư”)  Các liệu CA, đuợc phê chuẩn không phê chuẩn  Các liệu đơn xin cấp chứng thư  Các khóa bí mật th bao doanh nghiệp sử dụng hệ thống quản lý khố cơng khai thông tin cần thiết để khôi phục khoá  Các liệu chuyển đổi (dữ liệu đầy đủ liệu kiểm toán q trình chuyển đổi)  Các liệu kiểm tốn tạo lưu giữ FPT thuê bao  Các báo cáo kiểm toán tạo FPT hay thuê bao (cho việc đánh giá báo cáo này), kiểm toán viên (nội bên ngồi)  Các dự án khơi phục nạn hay khôi phục sau thảm hoạ  Quản lý mức độ an ninh hoạt động phần cứng, phần mềm, quản trị viên dịch vụ chứng thư dịch vụ khác IX.3.2 Thông tin không nằm phạm vi q trình đảm bảo tính mật Chứng thư, thu hồi chứng thư thông tin trạng thái chứng thư, nơi lưu giữ FPT thông tin chứa bên không coi thông tin mật/riêng tư Các thông tin không xem mật/riêng tư muc 9.3.1 khơng riêng tư khơng bí mật Phần tuân theo luật riêng tư IX.3.3 Trách nhiệm bảo vệ thông tin mật FPT đảm bảo an ninh cho thông tin riêng tư không bị tiết lộ với bên thứ IX.4 Tính bí mật thơng tin cá nhân IX.4.1 Kế hoạch đảm bảo tính riêng tư FPT tiến hành triển khai sách đảm bảo tính riêng , tuân theo luật riêng tư, FPT không tiết lộ tên hay thông tin đơn xin cấp chứng thư thuê bao bên 72 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.4.2 Thông tin riêng tư Tất thông tin thuê bao không công bố công khai, bao gồm chứng thư ban hành, danh mục chứng thư CRL trực tuyến coi thông tin riêng tư IX.4.3 Thông tin không riêng tư Tất thông tin công khai chứng thư coi thông tin riêng tư IX.4.4 Trách nhiệm bảo vệ thông tin riêng tư Những người tham gia vào dịch vụ FPT.CA nhận thơng tin mật phải đảm bảo tính mật cho thông tin không bị tiết lộ với bên thứ phải tuân theo luật riêng tư phạm vi quyền hạn IX.4.5 Thơng báo cho phép sử dụng thông tin mật Theo luật riêng tư hay theo thoả thuận, thông tin riêng tư khơng sử dụng mà khơng có cho phép người sở hữu thông tin Phần tuân theo luật riêng tư IX.5 Cung cấp thông tin FPT phép công bố thơng tin mật/riêng tư nếu:  Q trình cơng bố cần thiết có u cầu tồ án tìm kiếm thơng tin xác nhận  Q trình công bố cần thiết đáp ứng yêu cầu tồ án, q trình quản trị hay q trình liên quan đến luật pháp, hoạt động quản lý thẩm vấn án, yêu cầu xác nhận, yêu cầu cho trình tạo tài liệu IX.5.1 Những trường hợp làm lộ thơng tin khác Những sách riêng tư bao gồm điều khoản liên quan đến việc tiết lộ thơng tin bí mật/riêng IX.6 Quyền sở hữu trí tuệ IX.6.1 Quyền sở hữu chứng thư thơng tin thu hồi chứng thư CA có tất quyền sở hữu liên quan đến chứng thư thông tin thu hồi chứng thư mà họ ban hành FPT khách hàng cho phép tái tạo phân phối 73 Dịch vụ chứng thực chữ ký số công cộng FPT.CA chứng thư mà không cần trả phí, với điều kiện chúng tái tạo tồn sử dụng chứng thư tuân theo thoả thuận với đối tác tin cậy FPT khách hàng cho phép đối tác tin cậy sử dụng thông tin thu hồi để thực chức tuân theo thoả thuận sử dụng CRL, thoả thuận với đối tác tin cậy hay thoả thuận thích hợp khác IX.6.2 Quyền sở hữu CPS Các bên liên quan dịch vụ FPT.CA chấp nhận FPT có quyền sở hữu CPS điều khoản ghi CPS IX.6.3 Quyền sở hữu tên Người đăng ký chứng thư có quyền sở hữu thương hiệu, tên dịch vụ đơn xin cấp chứng thư , với tên phân biệt (distinguished name) chứng thư cấp IX.6.4 Quyền sở hữu khoá tài liệu khoá Cặp khoá tương ứng với chứng thư CA thuê bao tài sản CA thuê bao lưu trữ bảo vệ theo quyền sở hữu trí tuệ IX.7 Vấn đề đại diện bảo lãnh IX.7.1 Đại diện CA vấn đề bảo lãnh Dịch vụ FPT.CA bảo đảm:  Không có thơng tin khơng phù hợp với thực tế chứng thư  Khơng có thiếu sót thông tin chứng thư  Chứng thư CA phù hợp với yêu cầu CP CPS  Dịch vụ thu hồi chứng thư sử dụng kho lưu trữ phù hợp với tiêu chuẩn CP CPS Thoả thuận với khách hàng có thêm tuyên bố cam kết khác IX.7.2 Đại diện RA vấn đề bảo lãnh Các RA dịch vụ FPT.CA bảo đảm:  Khơng có thơng tin không phù hợp với thực tế chứng thư  Khơng có thiếu sót thơng tin chứng thư  Những chứng thư RA tuân theo yêu cầu CPS  Dịch vụ thu hồi chứng thư sử dụng kho lưu trữ phù hợp với tiêu chuẩn CPS Thoả thuận với khách hàng có thêm tuyên bố cam kết khác 74 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.7.3 Đại diện khách hàng bảo lãnh Khách hàng cam kết rằng:  Mỗi chữ ký số tạo sử dụng khố bí mật tương ứng với khố cơng khai liệt kê chứng thư chữ ký điện tử khách hàng Chứng thư chấp nhận hoạt động (khi chưa hết hạn hay bị thu hồi) thời gian chữ ký số tạo  Khố bí mật bảo vệ người khơng có thẩm quyền khơng thể truy cập vào khoá  Tất cam kết đưa khách hàng đơn xin cấp chứng thư thật  Tất thông tin cung cấp khách hàng chứa bên chứng thư thật  Chứng thư sử dụng cho mục đích hợp pháp tuân theo yêu cầu CPS  Khách hàng thuê bao cuối CA, khơng phép sử dụng khố bí mật kết hợp với khố cơng khai liệt kê chứng thư cho mục đích ký số, hay đưa CRL, CA Thoả thuận khách hàng có thêm tuyên bố cam kết khác IX.7.4 Đại diện cho đối tác tin cậy vấn đề bảo lãnh Thoả thuận với đối tác tin cậy yêu cầu đối tác tin cậy phải có đủ thơng tin để đưa định dựa vào thơng tin chứng thư Họ có trách nhiệm định tin tưởng hay không vào thơng tin chứng thư Relying Rarties có CPS Thoả thuận bên đối tác bao gồm thêm tuyên bố cam kết khác Trách nhiệm pháp lý đối tác tin cậy thiết lập hợp đồng đối tác tin cậy IX.8 Vấn đề bồi thường IX.8.1 Vấn đề bồi thường khách hàng Khi pháp luật yêu cầu, khách hàng phải bồi thường cho FPT xuất hiện:  Những thông tin không hợp lệ khách hàng cung cấp đơn xin cấp chứng thư  Lỗi khách hàng để lộ nhân tố, yếu tố liên quan đến đơn xin cấp chứng thư, bỏ sót cẩu thả hay với mục đích lừa đảo 75 Dịch vụ chứng thực chữ ký số công cộng FPT.CA  Lỗi khách hàng việc bảo vệ khóa bí mật, sử dụng hệ thống tin cậy, không thực biện pháp phòng ngừa cần thiết để tránh gây hậu  Việc sử dụng tên khách hàng (kể việc không giới hạn tên chung, tên miền, địa thư điện tử) vi phạm quyền sở hữu trí tuệ bên thứ Hợp đồng với khách hàng có bổ sung phù hợp IX.8.2 Vấn đề bồi thường đối tác tin cậy Khi pháp luật cho phép, thỏa thuận với đối tác tin cậy yêu cầu dối tác tin cậy bồi thường cho FPT hay thành phần tham gia dịch vụ FPT.CA CA RA vì:  Lỗi đối tác tin cậy việc thực thi bổn phận bên đối tác  Sự tin cậy đối tác chứng thư không đáp ứng số trường hợp  Lỗi đối tác tin cậy việc kiểm tra trạng thái chứng thư để xác dịnh chứng thư hết hạn hay bị thu hồi Thỏa thuận với đối tác tin cậy bao gồm thêm số nghĩa vụ khác IX.9 Thời hạn IX.9.1 Thời hạn CPS bắt đầu có hiệu lực cơng bố từ kho lưu trữ dịch vụ FPT.CA Các điều sửa đổi bổ sung cho CPS bắt đầu có hiệu lực có cơng bố từ kho lưu trữ dịch vụ FPT.CA IX.10 Sự kết thúc IX.10.1 Sự kết thúc CPS bổ sung, sửa đổi giữ hiệu lực thay văn IX.10.2 Ảnh hưởng kết thúc tồn Khi CPS hết hiệu lực, thành phần dịch vụ FPT.CA không bị giới hạn điều khoản hiệu lực chứng thư ban hàng 76 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.11 Thông báo riêng thỏa thuận bên FPT sử dụng biện pháp thương mại để giao thiệp bên, sử dụng thỏa thuận hợp đồng ký hết điều khoản ghi rõ hợp đồng IX.12 Sự sửa đổi IX.12.1 Các thủ tục sửa đổi Những sửa đổi CPS thực Cấp quản lý sách có thẩm quyền FPT Những điều sửa đổi dạng tài liệu chứa tất điều sửa đổi cho CPS dạng cập nhật IX.13 Các trường hợp cần sửa đổi nhận diện đối tượng (OID) Nếu cần thiết, FPT thay đổi OID cho sách chứng thư tương ứng với cấp chứng thư Nếu không, việc sửa đổi không bao gồm việc sửa đổi OID IX.13.1 Cách thức thời hạn thơng báo FPT có quyền định việc thay đổi cần thiết hay không cần thiết FPT tập hợp thay đổi CPS từ thành phần tham gia vào dịch vụ FPT.CA Nếu FPT cho thay đổi nên làm đề xuất thực thay đổi FPT đưa thông báo thay đổi phù hợp với mục Trái ngược với số điều CPS, FPT cho thay đổi CPS cần thiết để ngăn chặn xâm phạm đến an toàn dịch vụ FPT.CA, FPT có quyền thay đổi CPS Cơng bố thay đổi có hiệu lực Sau công bố, FPT thông báo tới bên liên quan IX.13.1.1 Thời điểm đưa sửa đổi Thời gian sửa đổi 15 nagỳ kể từ ngày công bố kho lưu trữ dịch vụ FPT.CA Bất kỳ tham gia vào dịch vụ FPT.CA có quyền đề xuất ý kiến tới FPT lúc hết thời gian sửa đổi IX.13.1.2 Cơ chế xử lý sửa đổi FPT xem xét tất đề xuất liên quan đến vấn đề sửa đổi bổ sung FPT có thể: (a) Cho phép đề xuất có hiệu lực mà khơng cần sửa đổi (b) Sửa đổi đề xuất tái cần 77 Dịch vụ chứng thực chữ ký số công cộng FPT.CA (c) Hủy bỏ đề xuất sửa đổi FPT có quyền hủy bỏ đề xuất sửa đổi, đưa ghi phần tài liệu “Cập nhật ghi thực thi” FPT.CA Những sửa đổi có hiệu lực sau hết hạn sửa đổi IX.14 Thủ tục tranh chấp IX.14.1 Thủ tục tranh chấp FPT, cộng tác thuê bao Việc giải tranh chấp FPT, bên thuê bao phải tuân thủ theo điều khoản ghi hợp đồng IX.14.2 Thủ tục tranh chấp thuê bao đối tác tin cậy Những tranh chấp có liên quan đến dịch vụ FPT.CA yêu cầu thời gian đàm phán 60 ngày, sau đưa lên tồ án có đủ quyền để xử lý IX.15 Luật quản trị Tuân theo luật nước CHXHCN Việt Nam luật Thương mại điện tử Việt Nam, đối tượng bị cưỡng chế thực hiện, xây dựng, giải thích hợp lệ hóa CPS này, không quan tâm tới lựa chọn văn luật khác, không yêu cầu thiết lập mối quan hệ thương mại Việt Nam Việc lựa chọn luật nhằm đảm bảo tính thống thủ tục giải thích cho người tham gia dịch vụ FPT.CA, họ đâu CPS tùy thuộc vào hệ thống điều luật, quy tắc, điều chỉnh, quy định, sắc lệnh mệnh lệnh thuộc phạm vi địa phương, bang, quốc gia, không giới hạn hay hạn chế lĩnh vực xuất hay nhập phần mềm, phần cứng thông tin kỹ thuật IX.16 Sự tuân thủ luật CPS tùy thuộc vào hệ thống điều luật, quy tắc, điều chỉnh, quy định, sắc lệnh mệnh lệnh thuộc phạm vi địa phương, bang, quốc gia, không giới hạn hay hạn chế cho lĩnh vực xuất phần mềm, phần cứng thông tin kỹ thuật IX.16.1 Trách nhiệm Trách nhiệm bên quy định giới hạn theo hợp đồng ký kết 78 Dịch vụ chứng thực chữ ký số công cộng FPT.CA IX.16.2 Tính độc lập điều khoản Trong trường hợp điều khoản hay sửa đổi bổ sung CPS giữ lại thi hành phiên tòa hay xét xử có thẩm quyền, phần cịn lại CPS có hiệu lực IX.16.3 Sự thực thi (quyền ủy nhiệm quyền khước từ) Bất kỳ bên chiếm ưu tranh cãi nảy sinh hợp đồng quyền ủy nhiệm quyền khước từ vi phạm điều khoản hợp đồng IX.16.4 Chính sách bắt buộc thực thi Trong phạm vi luật pháp cho phép, thỏa thuận thuê bao thỏa thuận bên liên quan bắt buộc phải tuân theo điều khoản bảo vệ dịch vụ FPT.CA IX.17 Các quy định khác IX.17.1 Nhiệm vụ, vai trò, trách nhiệm hệ thống FPT.CA Xem thêm mục 1.3.1 IX.17.1.1 Quy trình hoạt động Xem thêm mục 1.3.2 IX.17.1.2 Kết thúc RA, CA Xem thêm mục 6.7 IX.17.1.3 Lệ phí, bảo lãnh, trách nhiệm tài bồi thường Xem thêm mục 9.1., 9.2., 9.6 9.7 IX.17.1.4 Trách nhiệm báo cáo thông tin với Trung tâm Chứng thực điện tử quốc gia FPT cam kết tuân thủ đầy đủ trách nhiệm báo cáo thông tin lên Trung tâm Chứng thực điện tử quốc gia với yêu cầu nêu rõ IX.17.2 Nhiệm vụ, vai trò trách nhiệm thuê bao IX.17.2.1 Định nghĩa Xem thêm mục 1.3.1.3 IX.17.2.2 Nhận dạng xác thực Xem thêm mục 3.1.2 3.2 IX.17.2.3 Cam kết nghĩa vụ thuê bao Xem thêm mục 4.12.1 79 Dịch vụ chứng thực chữ ký số cơng cộng FPT.CA IX.17.2.4 Lệ phí bồi thường Xem thêm mục 9.1 9.7.1 80

Ngày đăng: 09/03/2022, 23:30

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN

w