Reglement für SuisseID-Anbieter

Transkript

1 Reglement für SuisseID-Anbieter Version 1.0c 4. November 2010

2 Name Standard-Nummer Kategorie Reifegrad Reglement für SuisseID-Anbieter (SuisseID-Governance) offen Version 1.0 Status In Kraft Vereins-intern Genehmigt am Ausgabedatum Sprache Herausgeber / Vertrieb Deutsch c/o Staatssekretariat für Wirtschaft SECO E-Government für KMU, Belpstrasse 18 CH-3003 Bern Zweck des Dokuments Das vorliegende Dokument definiert und erläutert als Ergänzung zum Dokument SuisseID Specification die wichtigsten nicht-technischen Eigenschaften der SuisseID und legt die organisatorischen und rechtlichen Rahmenbedingungen fest. Es regelt insbesondere die Anforderungen und Bedingungen, die Organisationen einzuhalten haben, welche die SuisseID anbieten und als solche in den Vereins Trägerschaft SuisseID, aufgenommen werden möchten. Dieses Reglement ist im Sinne einer Selbstregulierung einer Gruppe von Anbietern gleichartiger Produkte gedacht. In keinem Fall kann das Reglement oder können Teile daraus einen Anspruch eines Dritten gegenüber einem Anbieter begründen. Seite 2 von 10

3 Inhaltsverzeichnis 1 Einleitung Die SuisseID Dokumente zur SuisseID Bestandteile des Produkts SuisseID Zertifikatsträger mit Signaturzertifikat Standardisiertes Authentisierungszertifikat (IAC) SuisseID-Nummer Identity-Provider-Service (IdP) Support Anforderungen an SuisseID-Produkte Anforderungen an SuisseID-Lieferanten Qualifiziertes Signatur-Zertifikat (QC) Authentisierungs-Zertifikat (IAC) SuisseID-Identity-Provider-Service (IdP) Bundling mit anderen Produkten Haftungsübernahme durch CSPs Grundsätze Vorlagen für Haftungsübernahme... 8 Anhang A Referenzen & Bibliographie... 9 Anhang B Abkürzungen... 9 Anhang C Glossar Seite 3 von 10

4 1 Einleitung 1.1 Die SuisseID Unter dem Namen SuisseID wurde ein standardisiertes Zertifikatsprodukt definiert, das von anerkannten Anbietern von ZertES-konformen Signatur-Zertifikaten [1] angeboten werden kann. Die Definition des Produkts SuisseID versteht sich als gemeinsamer Standard aller Anbieter (Selbstregulierung), der unter Anleitung des SECO im Rahmen des dritten konjunkturellen Stabilisierungspakets [4] entstanden ist und in diesem Rahmen vom Bund unterstützt wird. SuisseID-konforme Produkte erweitern die bisher erhältlichen Karten bzw. Geräte mit Signaturzertifikat gemäss ZertES mit einem zusätzlichen, standardisierten Authentisierungszertifikat, einer eindeutigen SuisseID-Nummer und einem Dienst für den Nachweis von Identitätsmerkmalen (Identity Provider Service). Damit können öffentliche und private Dienstanbieter (Service Provider) ihre Benutzer sicher authentifizieren. Andererseits sollen sich Anwender mit Hilfe einer SuisseID bei einer möglichst breiten Palette von staatlichen und privaten Anwendungen sicher authentisieren und ihre Identität nachweisen, können. Die Spezifikation der SuisseID stützt sich weitgehend auf die ZertES-Regelungen [1] [2] [3] ab; darüber hinaus gehende Anforderungen betreffen vor allen Dingen a) das Authentisierungszertifikat (IAC) und wie dieses sich einer Anwendung gegenüber präsentiert; b) den Identity Provider Service (IdP) und seine Schnittstellen, über welche ein Zertifikatsinhaber ein Datenpaket anfordern kann, das die zum Zeitpunkt der Registrierung erfassten persönlichen Identifikationsdaten bestätigt. Verschiedene Eigenschaften von Zertifikats-Produkten werden unter SuisseID explizit nicht geregelt. So macht die SuisseID-Spezifikation keinerlei Vorgaben bezüglich der Form des Tokens, des Chips oder der Installation auf dem Client-PC. Eine SuisseID kann auch mit anderen Produkten verbunden ( bundling ) im Paket angeboten werden. 1.2 Dokumente zur SuisseID Im Kontext der SuisseID existieren die nachstehenden Dokumente: a) Statuten des Vereins Trägerschaft SuisseID ; b) Die technischen Spezifikationen zur SuisseID unter dem Namen SuisseID Specification Digital Certificates and Core Infrastructure Services mit den technischen Anforderungen an das Gesamtsystem; c) Das vorliegende Reglement für SuisseID-Anbieter ; d) Je ein Lizenzvertrag mit Anhängen zwischen der Schweizerischen Eidgenossenschaft, vertreten durch das Staatssekretariat für Wirtschaft (SECO), als Inhaber der Marke SuisseID, und jedem Anbieter der SuisseID als Nutzer der Marke. e) Die Allgemeinen Geschäftsbedingungen und andere Vertragsdokumente der SuisseID-Anbieter, welche gewisse im Reglement definierte Haftungsbestimmungen enthalten müssen. Seite 4 von 10

5 2 Bestandteile des Produkts SuisseID Eine SuisseID besteht aus den nachstehenden Produkten und Dienstleistungen: einem Zertifikatsträger mit einem Signaturzertifikat gemäss ZertES (QC); zusätzlich einem standardisierten Authentisierungszertifikat (IAC); beide mit einer eindeutigen SuisseID-Nummer, sowie; dem SuisseID Identity Provider Service (IdP). 2.1 Zertifikatsträger mit Signaturzertifikat SuisseID-konforme Zertifikatsträger enthalten immer auch ein ZertES-Signaturzertifikat, wofür zwei wichtige Gründe sprechen: Einerseits würde es vom Benutzer nicht verstanden, wenn er ein staatlich unterstütztes Zertifikatsprodukt kauft, das sich danach für rechtsgültige Interaktionen im elektronischen Behördenverkehr nicht eignet. Andererseits wäre es anders gar nicht möglich gewesen, die kurzfristig anberaumte Lancierung der SuisseID mit einer umfassenden, bewährten und überprüften Sicherheit vorzunehmen. Dies bedeutet, dass die von ZertES vorgegebenen Prozesse für das Signaturzertifikat (QC), soweit anwendbar, auch für das Authentisierungszertifikat (IAC) gelten. Auch wenn sich die ZertES-Sicherheit und - Qualität nicht vollständig auf alle Aspekte der SuisseID auswirken, so liegen dem ganzen Produkt doch genau definierte und geprüfte Prozesse einer zertifizierten Unternehmung zugrunde. Die SuisseID erbt auf diese Weise die Sicherheit und das Vertrauen von bisherigen ZertES-konformen Zertifikatsträgern. 2.2 Standardisiertes Authentisierungszertifikat (IAC) Schon bisher enthielten die meisten Zertifikatsträger nach ZertES ein sogenanntes fortgeschrittenes Zertifikat für die Authentisierung und/oder andere Zwecke. Diese weiteren Zertifikate wurden bisher nicht standardisiert, sodass meist ohne Notwendigkeit beträchtliche Unterschiede in den verschiedenen Implementationen existieren. Die SuisseID behebt diesen Mangel, indem das Authentisierungszertifikat detailliert spezifiziert ist. 2.3 SuisseID-Nummer Jedes SuisseID enthält in den beiden Zertifikaten eine eindeutige, nichtsprechende SuisseID-Nummer, die bei der Verlängerung des Zertifikats beibehalten werden kann. Dies ermöglicht vereinfachte Prozesse zwischen dem Zertifikatsinhaber und der Anwendung bei Ablauf des Zertifikats. Eine Person kann mehrere SuisseIDs erwerben, wahlweise mit der gleichen oder einer anderen SuisseID-Nummer. Dies gibt dem Benutzer grosse Flexibilität sowie zusätzliche Sicherheit und Diskretion im Umgang mit der SuisseID, unter gleichzeitiger bestmöglicher Wahrung von Datenschutzinteressen. 2.4 Identity-Provider-Service (IdP) Aus verschiedenen Gründen (Persönlichkeitsschutz und weitere) enthalten die beiden SuisseID-Zertifikate nur sehr wenige identifizierende Attribute. Für Anwendungen im Rahmen einer bestehenden Beziehung (wie z.b. E-Banking) oder wo sich ein Registrationsprozess lohnt (z.b. E-Government-Portal) genügt dies. Falls eine Anwendung bereits beim Erstkontakt zusätzliche identifizierende Merkmale benötigt, kann sie diese vom Benutzer während des Authentisierungsprozesses in einem standardisierten Dialog einverlangen. In diesem Fall authentisiert sich der Zertifikatsinhaber beim Seite 5 von 10

6 SuisseID-Identity Provider Server (IdP), der ihm die von der Anwendung verlangten Attribute zur Prüfung anzeigt. Sofern der Zertifikatsinhaber der Auslieferung zustimmt, werden diese Attribute vom IdP signiert und an die Anwendung weiterleitet. Im obligatorisch zum SuisseID-Umfang gehörenden SuisseID-IdP werden die Daten des für die Registrierung verwendeten Ausweises, ohne Lichtbild und Unterschrift, gespeichert. Die Details sind in den technischen Spezifikationen zur SuisseID definiert. Der betreffende Zertifizierungsdienste-Anbieter erhebt die für den SuisseID-Identity Provider Service notwendigen Attribute bei der Registrierung für die SuisseID und hinterlegt diese im IdP. Wie ein Benutzer bzw. eine Anwendung spezifische identifizierende Daten verlangen kann, wie der Benutzer diese freigibt und wie sie an die Anwendung geliefert werden, ist in den technischen Spezifikationen zur SuisseID beschrieben. 2.5 Support Die CSPs gewährleisten ihren Kunden für die Zertifikatsdienstleitungen Support. Seite 6 von 10

7 3 Anforderungen an SuisseID-Produkte 3.1 Anforderungen an SuisseID-Lieferanten SuisseIDs können nur von nach ZertES anerkannten Zertifizierungsdienste-Anbietern (CSP) produziert und vertrieben werden, die sich zusätzlich diesem Reglement und den technischen Spezifikationen unterstellen. 3.2 Qualifiziertes Signatur-Zertifikat (QC) Für das zur SuisseID gehörige Signaturzertifikat gelten vollumfänglich alle einschlägigen Bestimmungen von ZertES und den dazugehörigen Ausführungsvorschriften, sowie zusätzlich die Bestimmungen im Dokument SuisseID Specification Digital Certificates and Core Infrastructure Services. 3.3 Authentisierungs-Zertifikat (IAC) Der CSP verpflichtet sich, im Zusammenhang mit dem Authentisierungs-Zertifikat die gleichen Sorgfaltspflichten einzuhalten, wie sie ihm das Gesetz für qualifizierte Signaturzertifikate auferlegt, sowie zusätzlich die Bestimmungen im Dokument SuisseID Specification Digital Certificates and Core Infrastructure Services. Er haftet dem Inhaber und Drittpersonen, die sich auf ein gültiges Zertifikat verlassen, für Schäden, welche diese erleiden, weil er diesen Pflichten nicht nachgekommen ist. 3.4 SuisseID-Identity-Provider-Service (IdP) Die Benutzung des SuisseID-Identity-Provider-Service ist für den Inhaber einer SuisseID kostenlos bzw. im Grundpreis für die SuisseID inbegriffen. Der CSP ist dafür verantwortlich - dass die Daten des SuisseID-Inhabers spätestens bei der Inbetriebnahme der entsprechenden SuisseID auf dem SuisseID-IdP bereit stehen und - dass der Inhalt der Bestätigungen des IdP mit den bei für die Registrierung des SuisseID- Inhabers erhobenen Daten übereinstimmen. Der SuisseID-Identity-Provider-Services ist so zu betreiben, - dass die Daten des SuisseID-Inhabers vor unberechtigtem Zugriff gesichert sind, und - dass die Bestätigungen in jedem Fall nur gegen starke Authentisierung an den Inhaber der zugeordneten SuisseID abgegeben wird. Der Verkehr auf einem IdP Server darf nur soweit protokolliert werden, wie es für einen sicheren Betrieb und die nötige Governance unabdinglich ist. Die Protokolle werden nur im Störfall und nur zum Zwecke der Behebung der Störung eingesehen. Tritt keine Störung auf, werden die Daten nach 24 Stunden gelöscht. Tritt eine Störung auf, werden die zur Behebung benötigten Daten 24 Stunden nach Behebung der Störung gelöscht. 3.5 Bundling mit anderen Produkten Ein Bundling der SuisseID mit weiteren Produkten, beispielsweise mit anderen Zertifikatstypen oder besonderen Trägerelementen, ist möglich. In diesem Fall weist der Lieferant den Erwerber explizit und verständlich darauf hin, welche Elemente zur SuisseID gehören und welche nicht. Seite 7 von 10

8 4 Haftungsübernahme durch CSPs 4.1 Grundsätze Dritten gegenüber, die sich auf die Zertifikate verlassen, sei es als Anwendungs-Provider oder als Empfänger einer signierten Nachricht, haften die CSPs - im Falle des Signaturzertifikats gemäss den Bestimmungen des ZertES; - im Falle des Authentisierungszertifikats und der Dienstleistungen des IdP gemäss den Bestimmungen dieses Reglements. 4.2 Vorlagen für Haftungsübernahme Jeder CSP übernimmt die nachstehenden Haftungsbestimmungen in seine entsprechenden Vertragsdokumente: Haftung für SuisseID-Authentisierungszertifikate <Firma> verpflichtet sich, im Zusammenhang mit dem zur SuisseID gehörigen Authentisierungs-Zertifikat die gleichen Sorgfaltspflichten einzuhalten, wie sie ihm das Gesetz für qualifizierte Signaturzertifikate auferlegt. <Firma> haftet dem Inhaber und Drittpersonen, die sich auf ein gültiges Zertifikat verlassen, für Schäden, welche diese erleiden, weil <Firma> diesen Pflichten nicht nachgekommen ist. Die Haftungssumme ist auf CHF pro Schadensfall begrenzt. Haftung für Dienstleistungen des SuisseID-Identity-Provider-Service (IdP) <Firma> gewährleistet, dass die Daten in den vom IdP abgegebenen Bestätigungen mit den bei der Registrierung des Zertifikatsinhabers auf dem dabei vorgelegten Ausweis erhobenen Daten übereinstimmen. Dem Zertifikatsinhaber gegenüber gewährleistet <Firma>, dass solche Bestätigungen nur an den sich mit starker Authentisierung ausweisenden Inhaber des zugehörigen Authentisierungszertifikats abgegeben werden. <Firma> verpflichtet sich, im Zusammenhang mit den Dienstleistungen des SuisseID-IdP die gleichen Sorgfaltspflichten einzuhalten, wie sie ihm das Gesetz für den Betrieb von Verzeichnisdiensten zu qualifizierten Zertifikaten auferlegt. <Firma> haftet dem Inhaber und Drittpersonen, die sich auf eine von ihr/ihm signierte IdP-Bestätigung verlassen, für Schäden, welche diese erleiden, weil <Firma> diesen Pflichten nicht nachgekommen ist. Die Haftungssumme ist auf CHF pro Schadensfall begrenzt. Seite 8 von 10

9 Anhang A Referenzen & Bibliographie [1] SR , ZertES, Bundesgesetz vom 19. Dezember 2003 über Zertifizierungsdienste im Bereich der elektronischen Signatur [2] SR , VZertES, Verordnung vom 3. Dezember 2004 über Zertifizierungsdienste im Bereich der elektronischen Signatur [3] SR TAV-ZertES, Verordnung vom 6. Dezember 2004 des BAKOM über Zertifizierungsdienste im Bereich der elektronischen Signatur, Ausgabe 3 vom 13. November 2006 [4] SR , Bundesgesetz vom 25. September 2009 über befristete konjunkturelle Stabilisierungsmassnahmen in den Bereichen des Arbeitsmarkts, der Informations- und Kommunikationstechnologien sowie der Kaufkraft Anhang B Abkürzungen CSP IAC IdP QC SECO SR TAV ZertES Certification Service Provider Identity & Authentication Certificate Identity Provider Qualified Certificate Staatssekretariat für Wirtschaft Systematische Rechtssammlung ( Technische Ausführungsverordnung Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur Seite 9 von 10

10 Anhang C Glossar Authentifizierung Prüfung der Identität durch einen Service Provider. Authentisierung Prozess des Nachweises der eigenen Identität. Authentisierungszertifikat Digitales Zertifikat, dessen Verwendungszweck die Authentisierung ist Identity & Authentication Certificate (IAC) Ein fortgeschrittenes, nicht qualifiziertes Zertifikat für Identifikation und Authentifizierung (identification & authentication certificate), das nach den technischen und administrativen Bestimmungen gemäss in Kapitel 4 ausgegeben wird. Ein SuisseID IAC wird immer zusammen mit einem SuisseID QC in einem SuisseID Zertifikatsset ausgegeben. Identity Provider (IdP) Dienst, der den Zertifikatsinhaber gemäss den Spezifikationen in diesem Dokument authentifiziert und ein standardisiertes Datenpaket gemäss SAML 2.0 ausgibt, welches diese Authentifizierung bestätigt. Qualified Certificate (QC) Ein qualifiziertes Zertifikat (qualified certificate), das nach den Bestimmungen der nach den technischen und administrativen Bestimmungen aus Kapitel 4 ausgegeben wird. Ein SuisseID QC wird immer zusammen mit einem SuisseID IAC in einem SuisseID Zertifikatsset ausgegeben. Service Provider Anbieter eines Online-Dienstes. Signatur Ein Datenpaket, das zu einem Dokument oder einer Nachricht gehört. Die Haupteigenschaften sind die Sicherstellung von a) der Unversehrtheit (Integrität) und b) der Herkunft (Originalität). Eine Signatur kann als elektronische Unterschrift im rechtlichen Sinne eingesetzt werden, wenn die entsprechenden Bestimmungen aus dem Signaturgesetz ZertES [1] erfüllt sind. Signaturzertifikat Elektronisches Zertifikat, dessen Einsatzzweck die elektronische Unterschrift ist. SuisseID IAC siehe Identity & Authentication Certificate. SuisseID-Nummer Eine eindeutige, durch den CSP vergebene nichtsprechende Nummer, die einem Zertifikatsinhaber zugeordnet ist SuisseID QC siehe Qualified Certificate. SuisseID-Zertifikat Ein SuisseID QC oder ein SuisseID IAC. Zertifikatsinhaber Natürliche Person, auf die ein SuisseID-konformes Zertifikat ausgestellt worden ist und in deren Besitz sich das dazu gehörige Produkt (Träger der SuisseID-Zertifikate) und damit die geheimen Schlüssel befinden. SuisseID-Zertifikate werden ausschliesslich an natürliche Personen ausgegeben. Der Zertifikatsinhaber kann ein oder mehrere SuisseID-Zertifikate von einem oder mehreren CSP verwenden. Seite 10 von 10