REGULAMIN PODPISU WizzAir Hungary Kft. dla elektronicznego systemu wystawiania faktur Identyfikator obiektu użytkownik (OID): 1.3.6.1.4.1.18665.1.2 Numer wersji: 1.0 Data wejścia w życie: 2005-10-01
2 Signature Policy Obsługa zmian Wersja Data Opis zmian Draft1 2005-07-01 Pierwsza wersja robocza Draft2 2005-08-29 Rozszerzona i sprecyzowana wersja robocza 1.0 2005-10-01 Pierwsza dostępna wersja
3 Signature Policy Spis treści OBSŁUGA ZMIAN...ERROR! BOOKMARK NOT DEFINED. 1. WSTĘP...ERROR! BOOKMARK NOT DEFINED. 2. DANE REGULAMINU PODPISU... 6 2.1. UŻYTKOWNIK REGULAMINU PODPISU... 6 2.2. WAŻNOŚĆ REGULAMINU PODPISU... 6 2.2.1. Przedmiotowy zakres obowiązywania regulaminu... 6 2.2.2. Terytorialny zakres obowiązywania regulaminu... 6 2.2.3. Czasowy zakres obowiązywania regulaminu...error! Bookmark not defined. 2.2.4. Podmiotowy zakres obowiązywania regulaminu...error! Bookmark not defined. 2.3. ZACHOWANIE (OBSŁUGA ZMIAN) REGULAMINU PODPISU... 7 2.4. PUBLIKACJA REGULAMINU...ERROR! BOOKMARK NOT DEFINED. 2.5. ROZPORZĄDZENIA I DOKUMENTY ZWIĄZANE Z REGULAMINEM... 8 3. REGULAMIN UWIARYGODNIENIA PODPISU...ERROR! BOOKMARK NOT DEFINED. 3.1. TYP ZOBOWIĄZANIA ELEKTRONICZNYCH PODPISÓW... 9 3.2. PRZEPISY DOTYCZĄCE DANYCH UPRAWOMOCNIAJĄCYCH... 9 3.2.1. Zobowiązania strony podpisującej... 9 3.2.2. Zobowiązania strony weryfikującej podpis... 10 3.3. PRZEPISY DOTYCZĄCE FORMATÓW... 10 3.3.1. Formaty przystosowane do użycia podpisu elektronicznego... 10 3.3.2. Format podpisu elektronicznego... 10 3.4. ZASADY UŻYTKOWANIA PODPISU PRZEZ UWIERZYTELNIONYCH DOSTAWCÓW USŁUG... 11 3.4.1. Zasady dotyczące łańcucha certyfikatów... 11 3.4.2. Zasady odwołania certyfikatów... 12 3.5. PRZEPISY DOTYCZĄCE DOSTAWCÓW USŁUGI ZNACZNIKA CZASU... 12 3.5.1. Zasady dotyczące łańcucha certyfikatów... 12 3.5.2. Zasady odwołania certyfikatów... 13 3.5.3. Zasady dotyczące czasu wyczekiwania... 13 3.5.4. Zasady dotyczące spóźnionych znaczników czasu... 13 3.6. ZASADY DOTYCZĄCE WIĄZANIA ALGORYTMU I DŁUGOŚCI KLUCZY... 13 4. GENEROWANIE PODPISU... 16 4.1. PRZYGOTOWANIE DO GENEROWANIA PODPISU... 16 4.1.1. Instalowanie Zintegrowanego Modułu Podpisu Marketline... 16
4 Signature Policy 4.1.2. Generowanie klucza...error! Bookmark not defined. 4.1.3. Instalowanie certyfikatów dostawcy usług oraz certyfikatu źródlowego... 16 4.2. PROCES GENEROWANIA PODPISU... 17 4.2.1. Nadawanie danych aktywujących... 17 4.2.2. Generowanie podpisu...error! Bookmark not defined. 4.2.3. Wstępna weryfikacja podpisu przez stronę składającą podpis... 17 4.2.4. Wiarygodność podpisu...error! Bookmark not defined. 4.3. SPECJALNE PRZEPISY DOTYCZĄCE COFNIĘCIA I ZAWIESZENIA CERTYFIKATÓW... 18 5. SPRAWDZANIE WIARYGODNOŚCI PODPISU... 19 5.1. PRZYGOTOWANIE DO WERYFIKACJI PODPISU... 19 5.1.1. Instalowanie programu Verify... 19 5.1.2. Instalowanie certyfikatów dostawcy usług oraz certyfikatu źródlowego... 19 5.2. PROCES WERYFIKACJI PODPISU... 20 5.2.1. Dane uwiarygodniające podpis... 20 5.2.2. Ważność podpisu... 20 6. DEFINICJE...ERROR! BOOKMARK NOT DEFINED.
5 Signature Policy 1. Wstęp Obecny dokument jest regulaminem składania podpisu w systemie elektronicznego wystawiania faktur i w środowisku transakcyjnym WizzAir Hungary Kft, który dotyczy podpisów i czynności weryfikacyjnych z nimi związanych stron biorących udział w wystawianiu i przyjmowaniu faktury. W systemie wystawiania faktur obecny regulamin określa swoje założenia przede wszystkim w związku z poniższymi dwoma modułami: zatwierdzony produkt firmy T-Online Magyarország Rt. o nazwie Marketline Zintegrowany Moduł Podpisu (zwanym dalej MIAM), dzięki któremu dochodzi do złożenia elektronicznego podpisu faktur, dokonuje się wstępna kontrola ostatecznej weryfikacji i archiwizacji, oraz dostępny bezpłatnie (nie zatwierdzony) produkt o nazwie MultiSigno Verify (zwanym dalej Verify), za pomocą którego adresat faktury może zweryfikować podpis złożony na elektronicznej fakturze.
6 Signature Policy 2. Dane regulaminu podpisu 2.1. Użytkownik regulaminu podpisu Identyfikator obiektu użytkownik regulaminu podpisu: wartość Wejście w życie regulaminu podpisu: data Wydawca regulaminu podpisu: wyszczególniona na stronie tytułowej wyszczególniona na stronie tytułowej WizzAir Hungary Kft. 2.2. Ważność regulaminu podpisu 2.2.1. Przedmiotowy zakres obowiązywania regulaminu Przedmiotowy zakres obowiązywania regulaminu podpisu obejmuje elektroniczny system wystawiania faktur przez WizzAir Hungary Kft. oraz elektroniczne transakcje w nim dokonywane, a więc szczególnie dotyczy Zintegrowanego Modułu Podpisu Marketline oraz programu MultiSigno Verify. 2.2.2. Terytorialny zakres obowiązywania regulaminu Terytorialny zakres obowiązywania regulaminu podpisu dotyczy całego terytorium Węgier. 2.2.3. Czasowy zakres obowiązywania regulaminu Regulamin podpisu ważny jest na czas nieokreślony, począwszy od daty aktualnie dostępnej wersji wyszczególnionej na stronie tytułowej oraz w tabeli obsługi zmian. Czasowy zakres obowiązywania regulaminu zostaje anulowany wraz z unieważnieniem regulaminu podpisu, lub w przypadku wejścia w życie jego nowej wersji. 2.2.4. Podmiotowy zakres obowiązywania regulaminu Podmiotowy zakres obowiązywania regulaminu podpisu rozciąga się na osoby obsługujące system wystawiania elektronicznych faktur przez WizzAir Hungary Kft. (które są odpowiedzialne za elektroniczne podpisy znajdujące się na fakturach), a także na adresatów faktur (klienci
7 Signature Policy przyjmujący elektroniczne faktury od WizzAir Hungary Kft., którzy weryfikują elektroniczny podpis). 2.3. Zachowanie (obsługa zmian) regulaminu podpisu Regulamin podpisu może zostać w każdej chwili, bez wcześniejszego zawiadomienia zmodyfikowany przez WizzAir Hungary Kft. Firma WizzAir Hungary Kft jest zobowiązana, aby zmodyfikowaną wersję regulaminu najpóźniej na dwa dni przed jego wejściem w życie udostępnić klientom przyjmującym podpisane faktury oraz ma obowiązek wysłać o tym zawiadomienie. WizzAir Hungary Kft. ma obowiązek zachowania wcześniejszych, nieaktualnych wersji regulaminu i udostępnić je na prośbę zainteresowanej strony. Aktualny (obecny) regulamin klienci przyjmujący elektroniczne faktury WizzAir Hungary Kft. akceptują i uznają za obowiązujący. W przypadku modyfikacji regulaminu klienci przyjmujący elektroniczne faktury WizzAir Hungary Kft. mogą wnieść zażalenie do czasu wejścia w życie nowego regulaminu, zaniechanie tej czynności będzie uznane za przyjęcie zasad nowego regulaminu. 2.4. Publikacja regulaminu WizzAir Hungary Kft. ma obowiązek zamieszczenia na swojej stronie internetowej aktualnej wersji regulaminu podpisu. Regulamin ma być udostępniony w formacie PDF.
8 Signature Policy 2.5. Rozporządzenia i dokumenty związane z regulaminem Obecny regulamin podpisu został przygotowany zgodnie z Regulaminem Uwierzytelnionych Usług Matáv, zgodnie z Regulaminami Certyfikatów świadectw Matáv oraz zgodnie z Usługową Polityką Znacznika Czasu Matáv. Zasady generowania i przechowywania kluczy kryptograficznych używanych w elektronicznym systemie podpisów WizzAir Hungary Kft. są opisane w oddzielnym regulaminie (regulamin użycia kluczy podczas wystawiania elektronicznych faktur przez WizzAir Hungary Kft.) Instrukcja użycia Zintegrowanego Modułu Podpisu Marketline znajduje się w opisie eksploatacji MIAM. Instrukcja użycia modułu Verify jest opisana w dołączonym do instrukcji obsługi pliku w formacie PDF. Regulaminy Matáv Wystawianie i używanie certyfikatów wykorzystywanych przy wystawianiu faktur przez WizzAir Hungary Kft. jest zgodne z Regulaminem Uwierzytelnionych Usług Matáv, Rt. oraz z Regulaminem Certyfikatu e-szignó. Usługa znacznika czasu jest wykonywana zgodnie z Polityką Usługi Znacznika Czasu Matáv Rt., jak również zgodnie z Certyfikatem Usługi Kwalifikowanego Znacznika Czasu e-szignó. Wyżej wymienione oficjalne uregulowania dostępne są na stronie internetowej eszignó.
9 Signature Policy 3. Regulamin uwiarygodnienia podpisu 3.1. Typ zobowiązania elektronicznych podpisów Każdy podpis elektroniczny znaczy tyle, co przejęcie zobowiązania. Obecny regulamin podpisu dotyczy wszystkich podpisów elektronicznych podlegających temu regulaminowi i świadczy poniższy typ zobowiązania: Wraz z podpisaniem elektronicznej faktury podpisujący (firma WizzAir Hungary Kft., w imieniu której podpis składa osoba, pracownik do tego upoważniony) przyznaje, że przygotował, zatwierdził i wysłał fakturę w terminie opatrzonym podpisem, w imieniu firmy WizzAir Hungary Kft., która jest wyznaczona w certyfikacie służącym do uwierzytelnienia podpisu. W ten sposób powstały elektroniczny podpis jest równoznaczny z oficjalnym podpisem firmowym WizzAir Hungary Kft. Ponieważ regulamin podpisu określa jeden typ zobowiązania dla wszystkich podpisów podlegających regulaminowi, w dalszej części dokumentu przepisy dotyczące ważności podpisów (ich składania i weryfikacji) jednakowo tyczyć się będą wszystkich podpisów składanych na elektronicznej fakturze. 3.2. Przepisy dotyczące danych uprawomocniających Zobowiązania dotyczące odpowiedzialności stron, które generują i akceptują podpisy należące do obecnego zakresu regulaminu podpisu: 3.2.1. Zobowiązania strony podpisującej Strona podpisująca elektroniczną fakturę (WizzAir Hungary Kft.) oprócz wygenerowania podpisu ma obowiązek dokonać wstępnej kontroli wiarygodności podpisu, oraz wraz z wykonaniem tych czynności powinna zapewnić uwierzytelniające dane potrzebne do ostatecznego stwierdzenia niezaprzeczalności podpisu elektronicznego. Strona podpisująca podczas generowania podpisu ma obowiązek uzupełnić podpis elektroniczny o poniższe dane: identyfikator obecnego regulaminu podpisu (jako podpisany parametr podpisu), certyfikat użytkownika wykorzystany do podpisu (jako podpisany parametr podpisu), znacznik czasu (jako niepodpisany parametr podpisu). Podczas wstępnej weryfikacji podpisu (której należy dokonać po upływie czasu określonego w punkcie 3.5.3.) strona podpisująca ma obowiązek uzupełnienia podpisu elektronicznego o poniższe dane:
10 Signature Policy aktualna lista odwołanych certyfikatów, która zostanie udostępniona w ciągu 24 godzin od wygenerowania podpisu, certyfikat usług potrzebny podczas podpisywania listy odwołanych certyfikatów (jako niepodpisany parametr podpisu). Proces generowania podpisu szczegółowo został opisany w rozdziale 4. 3.2.2. Zobowiązania strony weryfikującej podpis Strony przyjmujące elektroniczną fakturę (sprawdzające autentyczność podpisu) po otrzymaniu faktury mogą skontrolować wiarygodność elektronicznego podpisu. Podczas tego procesu strona kontrolująca nie ma obowiązku zebrania danych uwiarygodniających, kontrola wiarygodności odbywa się przy wykorzystaniu wyłącznie samego podpisu, dane uwiarygodniające są już dołączone do podpisu przez składającego podpis, a uwierzytelnienie podpisu dokonywane jest na podstawie certyfikatów wcześniej już zamieszczonych w zbiorze świadectw. Proces uwierzytelniania podpisu szczegółowo został opisany w rozdziale 5. 3.3. Przepisy dotyczące formatów 3.3.1. Formaty przystosowane do użycia podpisu elektronicznego W systemie elektronicznego wystawiania faktur WizzAir Hungary Kft. mogą zostać podpisane wyłącznie elektroniczne faktury o formacie PDF. 3.3.2. Format podpisu elektronicznego Strona podpisująca ma przygotować podpis w formacie odpowiadającym normie XML-Signature RFC 3275 (XML-Signature Syntax and Processing). Elektroniczna faktura zawiera jeden podpis, w systemie nie ma potrzeby wielokrotnego generowania podpisu. Wstępna weryfikacja dokonywana przez stronę podpisującą po upływie określonego czasu od momentu wygenerowania podpisu (patrz punkt 3.5.3.) nie może modyfikować powyższej normy formatu, może jedynie zamienić zamieszczoną listę odwołanych certyfikatów na aktualną wersję listy odwołanych certyfikatów. Strona uwierzytelniająca ma w obowiązku dokonać ostatecznej weryfikacji podpisu elektronicznego otrzymanego w formacie odpowiadającym normie XML-Signature RFC.
11 Signature Policy 3.4. Zasady użytkowania podpisu przez uwierzytelnionych dostawców usług 3.4.1. Zasady dotyczące łańcucha certyfikatów W systemie wystawiania elektronicznych faktur WizzAir Hungary Kft. mogą być użyte jedynie certyfikaty użytkownika wydane przez Matáv Rt. w ramach usługi eszignó, której rejestracji dokonała firma Matáv Rt. Certyfikaty użytkownika mogą zostać zidentyfikowane według poniższych: Wydawca (Issuer: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU), Numer serii (SerialNumber: numer serii). Certyfikaty użytkownika mają podwyższony poziom bezpieczeństwa, a termin ważności nadawany jest na jeden rok. Certyfikaty użytkowe wydane w systemie są podpisywane (uwiarygodniane) certyfikatem dostawcy usług przez jednostkę wyznaczoną przez Matáv Rt. Certyfikat dostawcy usług może zostać zidentyfikowany według poniższych danych: Numer serii (SerialNumber: 0084) Wydawca (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Podmiot (Subject: CN = Matav Shared CA / OU = Matav Trust Center / O = Matav Rt. / C = HU) SHA1 skrót kryptograficzny: DF62 0A85 75A4 62AC 77E6 CDA0 AD5D AB2A A41B 0B2A Certyfikat dostawcy usług ma podwyższony poziom bezpieczeństwa, a termin ważności nadawany jest na pięć lat. Certyfikat wydawany przez uwiarygodnioną jednostkę Matáv Rt. zostaje zatwierdzony przez certyfikat uwiarygodnionej jednostki źródłowej Deutsche Telekom za pomocą podpisu. Certyfikat źródłowy może zostać zidentyfikowany według poniższych danych: Numer serii (SerialNumber: 0024) Wydawca (Issuer: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) Podmiot (Subject: CN = Deutsche Telekom Root CA 1 / OU = T-TeleSec Trust Center / O = Deutsche Telekom AG / C = DE) SHA1 skrót kryptograficzny: 9E6C EB17 9185 A29E C606 0CA5 3E19 74AF 94AF 59D4
12 Signature Policy Certyfikat źródłowy ma podwyższony poziom bezpieczeństwa, a termin ważności nadawany jest na 20 lat. 3.4.2. Zasady odwołania certyfikatów Do uwierzytelniania certyfikatów użytkownika konieczne jest użycie list odwołanych certyfikatów. Listy odwołanych certyfikatów są podpisywane i wydawane przez jednostkę uwiarygodniającą wyznaczoną przez Matáv nie rzadziej, niż co 24 godziny. Dla strony podpisującej, listy odwołanych certyfikatów są dostępne w magazynie certyfikatów Matáv, pod adresem podanym w certyfikatach użytkownika. Dla strony uwierzytelniającej, listy odwołanych certyfikatów są dostępne wśród danych dołączonych do podpisu elektronicznego. Listy odwołanych certyfikatów potwierdza ten sam certyfikat wystawiany przez jednostkę uwierzytelniającą, który poświadcza wiarygodność certyfikatu użytkownika (patrz punkt 3.3.1. o certyfikacie dostawcy usług) Listy odwołanych certyfikatów należące do certyfikatów użytkownika są możliwe do zweryfikowania i należy je zweryfikować tym certyfikatem. Do zweryfikowania wiarygodności certyfikatu użytkownika i potwierdzającego go certyfikatu źródłowego nie jest konieczne użycie list odwołanych certyfikatów. 3.5. Przepisy dotyczące dostawców usługi znacznika czasu Obecny regulamin podpisu wymaga użycia znaczników czasu. 3.5.1. Zasady dotyczące łańcucha certyfikatów W systemie elektronicznego wystawiania faktur WizzAir Hungary Kft. jest możliwe używanie znaczników czasu oferowanych wyłącznie przez Matáv Rt. Certyfikat użytkowy wykorzystywany przy składaniu podpisu znaczników czasu Matáv Rt. można zidentyfikować na podstawie poniższych danych: Wystawca (Issuer: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Rozszerzone użycie klucza (ExtendedKeyUsage: 1.3.6.1.5.5.7.3.8 /Időbélyegzés/) Certyfikat usług używany przy podpisywaniu znaczników czasu zostaje potwierdzony (przez złożenie podpisu) przez Kwalifikowanego Autoryzowanego Dostawcę Usług Matáv, jako źródłowy certyfikat źródłowej jednostki weryfikującej. Ten certyfikat źródłowy może zostać zidentyfikowany według poniższych danych:
13 Signature Policy Numer serii (SerialNumber: 01) Wydawca (Issuer: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) Podmiot (Subject: CN = Matav Minositett Root CA / OU = Matav Trust Center / O = Matav / L = Budapest /C = HU) SHA1 skrót kryptograficzny: 691D 25F1 298B 8ECC EF4E FC77 04CE D79F BDCA AE2D 3.5.2. Zasady odwołania certyfikatów W celu potwierdzenia wiarygodności certyfikatu użytkownika wykorzystywanego przy składaniu podpisu znaczników czasu oraz uwiarygodniającego go certyfikatu źródłowego nie jest konieczne zastosowanie list odwołanych certyfikatów. 3.5.3. Zasady dotyczące czasu wyczekiwania Strona podpisująca może dokonać wstępnej weryfikacji po upływie 24 godzin od momentu złożenia podpisu. Strona podpisująca dopiero po wstępnej weryfikacji (a w związku z tym w formie uzupełnionej danymi uprawomocniającymi) może udostępnić podpisaną elektroniczną fakturę stronie weryfikującej. 3.5.4. Zasady dotyczące spóźnionych znaczników czasu Obecny regulamin podpisu nie zajmuje się analizą różnicy czasu pomiędzy datą umieszczoną przy podpisie, a datą wyznaczoną przez znacznik czasu. Zarówno podczas wstępnej, jak i ostatecznej weryfikacji za datę złożenia podpisu należy uznać datę wyznaczoną przez znacznik czasu. (Strona weryfikująca podczas weryfikacji podpisu powinna badać wiarygodność podpisu i certyfikatów według tej daty). 3.6. Zasady dotyczące wiązania algorytmu i długości kluczy W systemie wystawiania elektronicznych faktur WizzAir Hungary Kft. do wykorzystania możliwe są wyłącznie poniższe algorytmy wraz z podanymi poniżej minimalnymi długościami kluczy: Do złożenia podpisu na elektronicznej fakturze (certyfikaty użytkownika): RSA algorytm podpisujący o 1024-bitowym kluczu, SHA-1 algorytm haszujący, PKCS #1 (emsa-pkcs1-v1_5) algorytm ładujący. Do złożenia podpisu na certyfikatach użytkownika (certyfikat dostawcy usług): RSA algorytm podpisujący o 2048-bitowym kluczu, SHA-1 algorytm haszujący,
14 Signature Policy PKCS #1 (emsa-pkcs1-v1_5) algorytm ładujący. Do złożenia podpisu na listach odwołanych certyfikatów (certyfikat dostawcy usług): RSA algorytm podpisujący o 2048-bitowym kluczu, SHA-1 algorytm haszujący, PKCS #1 (emsa-pkcs1-v1_5) algorytm ładujący. Do złożenia podpisu na znacznikach czasu (certyfikat dostawcy usług): RSA algorytm podpisujący o 2048-bitowym kluczu, SHA-1 algorytm haszujący, PKCS #1 (emsa-pkcs1-v1_5) algorytm ładujący.
15 Signature Policy W przypadku podpisu na certyfikatach użytkownika oraz w przypadku podpisu składanego na certyfikatach dostawcy usług używanego do podpisu list odwołanych certyfikatów (1. certyfikat źródłowy): RSA algorytm podpisujący o 1024-bitowym kluczu, MD5 algorytm haszujący, PKCS #1 (emsa-pkcs1-v1_5) algorytm ładujący. W przypadku używanego do podpisania znaczników czasu podpisu certyfikatu dostawcy usług (2. certyfikat źródłowy): RSA algorytm podpisujący o 2048-bitowym kluczu, SHA-1 algorytm haszujący, PKCS #1 (emsa-pkcs1-v1_5) algorytm ładujący.
16 Signature Policy 4. Generowanie podpisu 4.1. Przygotowanie do generowania podpisu W centralnym systemie strony składającej podpis (WizzAir Hungary Kft.) konieczne są liczne przygotowania do wykonania podpisu elektronicznych faktur. 4.1.1. Instalowanie Zintegrowanego Modułu Podpisu Marketline W centralnym systemie, który będzie generował podpis elektronicznych faktur i dokonywał wstępnej weryfikacji, we współpracy z administratorem programu należy zainstalować Zintegrowany Moduł Podpisu Marketline. Podczas instalacji należy sprawdzić numer wersji MultiSigno Developer, używanego przez Zintegrowany Moduł Podpisu Marketline. 4.1.2. Generowanie klucza Klucze używane przez Zintegrowany Moduł Podpisu Marketline, są generowane przez osoby podpisujące się w imieniu WizzAir Hungary Kft. w przeglądarce za pomocą oprogramowania, po czym są przez nie instalowane na serwer ściągający: Zintegrowany Moduł Podpisu Marketline (DigSig). Zasady generowania i przechowywania kluczy dokładnie omówione są w rozdziale "Zasady dotyczące korzystania z kluczy w systemie wystawiania faktur elektronicznych WizzAir Hungary Kft. 4.1.3. Instalowanie certyfikatów dostawcy usług oraz certyfikatu źródłowego Certyfikaty źródłowe oraz certyfikaty dostawcy usług potrzebne do generowania podpisu i wstępnej weryfikacji należy zachować w magazynie certyfikatów systemu operacyjnego Windows w komputerze z zainstalowanym Zintegrowanym Modułem Podpisu Marketline, po to, aby przy weryfikacji podpisu uniknąć każdorazowego manualnego ich sprawdzania. Bezpieczny wybór i przechowywanie tych certyfikatów z punktu widzenia bezpieczeństwa systemu ma ważność krytyczną. W magazynie certyfikatów jako świadectwa zaufane mogą być zachowane tylko te certyfikaty dostawcy usług oraz certyfikaty źródłowe, które są konieczne do funkcjonowania systemu, i które są jednoznacznie możliwe do zidentyfikowania na podstawie tego, co zostało zapisane w punktach 3.4.1 i 3.5.1. Każdy inny wcześniej zainstalowany certyfikat należy usunąć z magazynu certyfikatów, także po zainstalowaniu potrzebnych świadectw nie należy instalować na dany komputer innych certyfikatów. Należy dbać o bezpieczeństwo zbiorów magazynu certyfikatów, znajdującego się w pamięci komputera, na którym został zainstalowany Zintegrowany Moduł Podpisu Marketline poprzez
17 Signature Policy ochronę systemu operacyjnego oraz przez fizyczną i logiczną ochronę komputera. Ta ochrona ma gwarantować, że w niekompetentny sposób nie będzie można z magazynu certyfikatów żadnych plików ani usuwać, ani dodawać. 4.2. Proces generowania podpisu 4.2.1. Nadawanie danych aktywujących Zintegrowany Moduł Podpisu Marketline wykonuje podpisy elektroniczne bez ingerencji człowieka. O aktywację kluczy prywatnych, podczas rozpoczęcia działalności, powinien zatroszczyć się właściciel znający aktywujące dane, zgodnie z przepisami Zasad korzystania z kluczy w systemie wystawiania elektronicznych faktur WizzAir Hungary Kft.. 4.2.2. Generowanie podpisu Zintegrowany Moduł Podpisu Marketline generuje podpis elektroniczny za pomocą oprogramowania, bez potrzeby użycia jakiegokolwiek przedmiotu do złożenia podpisu. 4.2.3. Wstępna weryfikacja podpisu przez stronę składającą podpis Wraz z upłynięciem czasu wyczekiwania (patrz punkt 3.5.3.) przez Zintegrowany Moduł Podpisu Marketline zostanie rozpoczęta wstępna weryfikacja podpisu. Podpis (a także podpisana faktura elektroniczna) może zostać ostatecznie zatwierdzony, pod warunkiem, że wstępna weryfikacja podpisu przyniesie ważny rezultat. 4.2.4. Wiarygodność podpisu Wstępna weryfikacja podpisu, a w związku z tym także samo generowanie podpisu uznane jest za ważne, jeśli zostaną spełnione wszystkie z poniższych warunków: Dokument, który ma zostać podpisany nie jest pustym dokumentem. Podpisujący dysponuje danymi potrzebnymi do generowania podpisu (klucz prywatny). Podpisujący posiada certyfikat. Jeśli podpisujący dysponuje więcej niż jednym kluczem prywatnym bądź certyfikatem zanim przystąpi do procesu podpisu elektronicznego ma obowiązek wybrania jednego z nich. Weryfikacja podpisu przyniesie ważny rezultat. Generowanie podpisu uznaje się za nieważne, jeśli spełni się przynajmniej jeden z poniższych warunków: Dokument, który ma zostać podpisany jest pustym dokumentem. Podpisujący nie dysponuje danymi potrzebnymi do generowania podpisu (klucz prywatny).
18 Signature Policy Podpisujący nie posiada certyfikatu. Jeśli podpisujący dysponuje więcej niż jednym kluczem prywatnym bądź certyfikatem i zanim przystąpi do procesu podpisu elektronicznego nie wybrał jednego z nich. Weryfikacja podpisu przyniesie nieważny rezultat. Próba ściągnięcia listy odwołanych certyfikatów okaże się niepomyślna, i dlatego weryfikacja podpisu przyniesie niekompletny rezultat. Jeśli generowanie podpisu okaże się nieskuteczne, z systemu dane do podpisania nie zostaną przesłane dalej, oraz podpisujący otrzyma o tym ostrzeżenie. 4.3. Specjalne przepisy dotyczące cofnięcia i zawieszenia certyfikatów W przypadku cofnięcia lub zawieszenia certyfikatów strona podpisująca (osoba składająca podpis w imieniu WizzAir Hungary Kft.) postępując zgodnie z Regulaminem Certyfikatu Matáv ma obowiązek powiadomić o tym biuro obsługi klienta Matáv, oraz jednostkę organizacyjną systemu wystawiania faktur elektronicznych WizzAir Hungary Kft. Jeżeli cofnięcie, bądź zawieszenie certyfikatu nastąpiło z powodu, w wyniku którego nie wyklucza się przekroczenia kompetencji strony podpisującej, strona składająca podpis ma obowiązek uczynić wszystko, aby uniknąć ewentualnych nadużyć.
19 Signature Policy 5. Sprawdzanie wiarygodności podpisu 5.1. Przygotowania do weryfikacji podpisu Komputer strony weryfikującej (adresata elektronicznej faktury) musi zostać odpowiednio przygotowany do tego, aby można było na nim weryfikować podpisy występujące na elektronicznej fakturze. 5.1.1. Instalacja programu Verify Na komputerze, który ma dokonywać weryfikacji podpisu faktury elektronicznej należy zainstalować program MultiSigno Verify. Program jest dostępny na stronie: http://www.kopdat.hu/multisigno lub http://www.multisigno.hu 5.1.2. Instalowanie certyfikatów dostawcy usług i certyfikatów źródłowych Certyfikaty źródłowe i certyfikaty dostawcy usług potrzebne do weryfikacji podpisów, należy zachować w magazynie certyfikatów systemu operacyjnego Windows w pamięci komputera z zainstalowanym programem Verify, po to, aby przy weryfikacji podpisu uniknąć każdorazowego manualnego ich sprawdzania. Bezpieczny wybór i przechowywanie tych certyfikatów z punktu widzenia bezpieczeństwa systemu ma ważność krytyczną. Magazyn certyfikatów może zawierać tylko te certyfikaty dostawcy usług oraz certyfikaty źródłowe, które są konieczne do funkcjonowania systemu, i które są możliwe do zidentyfikowania na podstawie tego, co zostało zapisane w punktach 3.4.1 i 3.5.1. Te certyfikaty są dostępne i możliwe do ściągnięcia ze strony internetowej Matáv i z magazynu certyfikatów (w formacie PKCS#7 i CRT) na stronie internetowej: http://www.eszigno.matav.hu w podpunkcie: "Tanúsítványtár és nyilvántartások". W magazynie certyfikatów komputera dokonującego weryfikacji mogą być zachowane także inne certyfikaty, potrzebne stronie weryfikującej z innych powodów. Za utrzymanie magazynu certyfikatów jest odpowiedzialna strona weryfikująca. Strona weryfikująca ma za zadanie dbać o bezpieczeństwo magazynu certyfikatów znajdującego się w pamięci komputera, na którym został zainstalowany program Verify, poprzez ochronę systemu operacyjnego oraz poprzez fizyczną i logiczną ochronę samego komputera. Ta ochrona ma gwarantować, że w niekompetentny sposób nie będzie można z magazynu certyfikatów żadnych plików ani usuwać, ani dodawać.
20 Signature Policy 5.2. Proces weryfikacji podpisu 5.2.1. Dane uwiarygodniające podpis Poniższe dane uwiarygodniające potrzebne do weryfikacji podpisów przekazywane są stronie weryfikującej jako część podpisu: Certyfikat użytkownika, Znacznik czasu, Lista odwołanych certyfikatów. Poniżej wyszczególnione dane potrzebne do weryfikacji podpisów są do dyspozycji strony weryfikującej dzięki ich (certyfikaty źródłowe i certyfikaty dostawcy usług) wcześniejszej instalacji (patrz punkt 5.1.2.): Certyfikat dostawcy usług przynależący do klucza podpisującego certyfikat użytkownika i listę wycofanych certyfikatów (patrz punkt 3.4.1.), należący do klucza podpisującego powyższy certyfikat dostawcy usług 1. źródłowy certyfikat (patrz punkt 3.4.1.), należący do klucza podpisującego znacznik czasu certyfikat dostawcy usług (patrz punkt 3.5.1.), należący do klucza podpisującego powyższy certyfikat dostawcy usług 2. źródłowy certyfikat (patrz punkt 3.5.1.). 5.2.2. Ważność podpisu Weryfikacja podpisów dokonywana przez strony weryfikujące tylko wtedy przyniesie ważny rezultat, jeśli zostanie spełniony każdy z poniższych warunków: Certyfikat użytkownika, znacznik czasu i lista odwołanych certyfikatów jest możliwa do odczytania ze zbioru danych dołączonych do podpisu (w dalszej części weryfikacji należy używać tych danych). Podpis znajdujący się na certyfikacie użytkownika wykonany za pomocą klucza publicznego i algorytmów przyniesie ważny rezultat. W łańcuchu świadectw certyfikatu użytkownika z miejscowego magazynu certyfikatów można uzyskać odpowiedni certyfikat dostawcy usług i certyfikat źródłowy (w dalszej części weryfikacji należy używać tych danych). Weryfikacja podpisów na certyfikacie użytkownika, dostawcy usług i certyfikacie źródłowym przyniesie ważny rezultat. Dotycząca certyfikatu użytkownika data wystawienia listy odwołanych certyfikatów jest późniejsza, niż data złożenia podpisu (a właściwie późniejsza, niż data widniejąca na znaczniku czasu). Z miejscowego magazynu certyfikatów można uzyskać certyfikat dostawcy usług i certyfikat źródłowy potrzebny do weryfikacji listy odwołanych certyfikatów. (w dalszej części weryfikacji należy używać tych danych). Potrzebna do weryfikacji listy odwołanych certyfikatów weryfikacja podpisów na certyfikacie dostawcy usług i certyfikacie źródłowym przyniesie ważny rezultat. Lista odwołanych certyfikatów nie zawiera zweryfikowanych certyfikatów użytkownika, które mają status zawieszony bądź cofnięty.
21 Signature Policy Z miejscowego magazynu certyfikatów można uzyskać certyfikat dostawcy usług i certyfikat źródłowy potrzebny do weryfikacji znaczników czasu (w dalszej części weryfikacji należy używać tych danych). Weryfikacja podpisów znajdujących się na certyfikacie dostawcy usług i certyfikacie źródłowym potrzebna do weryfikacji znacznika czasu przyniesie ważny rezultat. Znajdująca się na znaczniku czasu wartość skrótu kryptograficznego jest zgodna ze skrótem kryptograficznym występującym w podpisie. Podczas weryfikacji wszystkich certyfikatów zastosowanych w powyżej opisanym procesie weryfikacji należy sprawdzić poniższe dane: Ważność (Czy pomiędzy datami ważności certyfikatu jest data złożenia podpisu?) Podmiot (Czy odpowiada danym w regulaminie podpisu?) Podczas weryfikacji nie trzeba rozważać ani brać pod uwagę ewentualnie pojawiającego się w certyfikacie limitu finansowego. Przy weryfikacji i interpretacji certyfikatów należy postępować zgodnie z zapisami Regulaminu Uwierzytelnionych Usług Matáv.