Основания за изграждане
на Системата
-Закон за електронния документ
и електронния подпис” (ЗЕДЕП) (ДВ. Бр. 34, 06/04/2001 г), в сила
от 7.10.2001 г.;
-Наредби по приложението
на Закона (ДВ. Бр.15/2002 г.);
-сравнително добра Интернет-инфраструктура
в основните населени места на страната – добре позиционирани ISP
(Интернет-доставчици) и изградени връзки между тях;
-подмяна на елементи на
старата търговска инфраструктура с елементи на инфраструктура
за електронна търговия и услуги (основно схемата C2B и B2C);
-изискване за подържане
на В2В-схеми (екстранет междукорпоративни връзки);
-търговските банки използват
открити (публични) комуникации в клоновите си мрежи при предоставяне
на банкови услуги и продукти;
-търговки банки вече ползват
или планират да отворят “канали за електронно банкиране” (напр.,
Интернет-банкиране, PC-банкиране, телефонно и GSM-банкиране);
-потребност от подобряване
на сигурността на вътрешния и междубанков документооборот за търговски
банки и за финансови институции (документи, файлов обмен, електронна
поща и др.);
-готовност на банки да
въведат електронния подпис в предлаганите от тях банкови продукти
и услуги, както и за вътрешни цели;
-високи техническите и
финансови изисквания към технологията по предоставянето и оперирането
на удостоверителни услуги с приложимост на електронния подпис,
съгласно нормативната база в страната; тези изисквания по Закон
отреждат спечифична роля на Доставчика на удостоверителни услуги,
(несвойствена дейност за банките);
-висока степен на либералност
в законовите и нормативни уредби за регулиране на дейността на
бъдещи доставчици на удостоверитени услуги с използване на електронния
подпис; тази либералност може да доведе до компроментиране на
доставчици и по-лошо качество на публичните удостоверителни услуги;
-висока цена на изграждане
и поддържане на собствена PKI инфраструктура, отговаряща на Закона
и нормативната база, както и опасност от ‘затваряне’ на удостоверителните
услуги с електронен подпис в самата банка/финансова институция;
-сравнително малки начални
изисквания за обемите на удостоверителни услуги (брой удостоверения/сертификати)
базирани на електронния подпис в банковите и финансови институции;
-отворени и гъвкави схеми
на участие и ползване на удостоверителните услуги с електронен
подпис от банките и финансовите институции, които да им позволяват
различна степен на участие/отговорност (от пълен аутсорсинг до
пълна автономност на удостоверителни услуги), при гарантирана
защита на инвестиции;
Отчитайки горепосочените фактори,
Банксервиз АД изгражда PKI-система за електронно удостоверяване
с използване на сертификати на електронен подпис, която ще обслужва:
-междубанковите информационни
системи (БИСЕРА, СЕБРА, ЕКСПРЕС, др), оператор на които е Банксервиз
АД;
-търговски банки, за целите
на техни специфични банкови продукти и услуги, както и за вътрешни
цели (Е-mail, E-signing на документи, локални сиситеми за защита
на достъп и др.);
-други организации – застрахователни
дружества, корпоративни клиенти, др.
-публичен сектор.
към началото
Архитектура на Системата
Системата включва следните
компоненти:
-Удостоверяващ Орган (Root
CA) - регистриран като доставчик на удостоверителни услуги в КРС
по ЗЕДЕП, който съхранява политиките по издаване на сертификати
на електронен подпис на един или повече Удостоверяващи обекти
(СА) в банковия сектор;
-Удостоверяващ(и) обект(и)
(СА) – издава(т) удостоверения/сертификати като подписва данните
в сертификата със своя частен ключ за подписване (private signing
key); всеки СА публикува свой CPS (Процедури и практики за предоставяне
на удостоверителни услуги) и оперира в съответствие с този CPS;
-Регистриращ(и) обект(и)
(RA) – могат да бъдат централни и местни (локални) -идентифицира(т)
и автентифицира(т) абонати от името на СА и правят заявки за издаване
на сертификати, както и заявки за управления на издадени вече
сертфикати към СА;
-Електронен регистър (Directory)
– всяко СА или RA публикува издадените валидни сертификати в общ
регистър (Х.500 схема); допълнително в него се поддържа актуален
и архивен списък на прекратени (невалидни) сертификати от страна
на СА;
-Удостоверителни услуги
– дейности по издаване, подддържане/управление и прекратяване
на сертификатите, които оперира всяко СА w системата, в съответствие
със CPS и ЗЕДЕП;
-Удостоверителни продукти
– всички типове сертификати, които се издават и поддържат в системата;
-Смарт-карти за електронно
удостоверяване - издадена и персонализирана от Регистриращ обект
в системата смарт-карта за изпълнение на операции по електронно
удостоверяване, в съответствие с ЗЕДЕП и нормативната му уредба;
-Карточетец на смарт-карта
– карточетящо устройство, използвано за четене/запис на информация
(параметри/данни), свързани с персонализирането на картата и/или
електронното удостоверяване;
-Издател на смарт-карта
– регистриращ орган на системата, който може да извършва и персонализация
на смарт-картата;
-Участник в системата -
банка или друга организация, сключила Договор “Съвместна програма
за участие” и Договор за предоставяне на удостоверителни услуги;
-Абонат на системата –
лице (физическо или юридическо), организация или компютърна система,
чийто публичен ключ се удостоверява в сертификат (елeктронно удостоверение),
издаден от СА на системата;
-Доверяваща се страна (Relying
Party) – лице, организация или компютърна система, които са абонат
или потребител на сертифика, но не и СА или RA;
-Картопритежател (на смарт-карта)
– абонат на системата, с персонализирана смарт-карта, чиито таен
ключ и сертификат са записани на смарт-картата;
-Сертификат (електронно
удостоверение) - (публичен) eлектронен документ издаден и елктронно
подписан от Доставчика/СА, който еднозначно персонализира титуляра
на електронния подпис (притежателя на тайния ключ).
-Усъвършенстван електронен
подпис – съгласно ЗЕДЕП;
-Универсален електроне
подпис -
-“Съвместна програма ”
– Договор за съвместна програма/съюз на Банксервиз АД и търговскa(и)
банка(и), която предоставя възможност на търговската банка/корпоративен
клиент да участва в системата като изгражда и оперира Регистриращ
обект, както и вътрешна PKI нфраструктура в обхвата на системата
(B-Trust);
-Съвет по приложимост на
системата (съвет на потребителите на системата) B-Trust - най-висш
орган по управление на B-Trust® (т.е. на регистрирания Доставчик)
с права и отговорности, както следва:
. определя и утвърждава
инфраструктурни промени и практики на приложимост в B-Тrust®;
. утвърждава CPS и CP в
B-Tust®
. дефинира и прави вътрешен
одит на работата, процедурите и практиките в B-Trust®, в съответствие
с публикуваните CPS
. дефинира и прави преглед
на CP в съответствие с пуликуваните CPS
. ревизира и разпространява
ревизии на CPS, CP и други вътрешни документи до участници, абонати
и доверени страни в B-Trust®.
Изградената посредством
изброените по-горе архитектурни компоненти и елементи система
B-Trust и поставена да работи в реалните практически условия,
позволява:
-много удобни и лесни схеми
на мащабиране на дейността на Доставчика на удостоверителни услуги
базирани на електронен подпис – в момента системата в Банксервиз
включва Root CA (1 бр.), CA (1 бр.), RA (1 бр.) и няколко локални
(местни) регистриращи агенти (UA);
-различни схеми на участие
на банка или друга финасова организация или корпоративен участник
– от пълен аутсорсинг (т.е. ползване на готови издадени сертификати)
до изграждане и автономно опериране на свое СА в рамките на сиситемата
B-Trust (виж по-долу “Схеми на участие”);
-изграждане и поддържане
на обща зова на доверие и приложимост на сертификатите на B-Trust
в банковия сектор;
-издаване и поддържане
на различни типове сертификати с различно приложно поле, както
и с широк обхват на приложимост, дефинирани в публикуваните CP
(Политики на удостоверяване) за различните типове сертификати;
-удобства при преразпределение
на процедури и практики по опериране на системата, както и произтичащите
от това отговорности.
към началото
Обхват на Системата
Банксервиз АД, акционерно
дружество на търговските банки в страната, регистрира в КРС (Комисия
по Регулиране на Съобщенията) B-Тrust® като Удостоверяващ орган
на Доставчика на Удостоверителни Услуги-Банксервиз АД. Той предоставя/оперира
и поддържа B-Trust-Services (Удостоверителни услуги), в съответствие
със ЗЕДЕП.
B-Trust® изгражда самостоятелно
и/или по съвместни програми (B-Trust® AllianceProgram) с търговски
банки PKI-инфраструктура за банковия сектор на територията на
страната.
Посредством B-Trust AlliancePrograme
(Съвместма програма за участие), отделни търговски банки могат
да участват по различни схеми и да изграждат и поддържат корпоративни/вътрешни
структури за издаване и управление на сертификати в обхвата на
B-Trust®
Абонати на B-Trust-Services®
са лицата (физически и юридически), организации и компютърни системи,
на които са издават сертификати от всички CA на B-Trust®, в съответствие
с публикувани CPS. CA, които издават сертификати в съответствие
с CPS на Б-Тrust® ще изпълняват публикуваните процедури и правила
(CPS) за всеки тип сертификат. Тези правила са отразени чрез съответната
политика на удостоверяване (СР) за всеки тип сертификат на B-Trust.
към началото
Продукти и Услуги на B-Trust
B-Trust® оперира в сътветствиe с публикуван
CPS като издава следните типове сертификати:
-Лични (Personal) –B-Trust
Personal Class1, B-Trust Personal Class2;
-Професионални (Corporate)
–B-Trust Professional Class1 (for Employer, for Self-employer),
B-Trust Professional Class2 (for Employer, for Self-employer,
for Manager);
-сървърни (Server) – B-Trust
Server;
-Подписване на код (Code
Signing/Developer Signing) –B-Trust CodSign;
-Специфични (Customized):
-Други....
към началото
А) Продукти:
А1) Основни:
-всички типове сертификати,
съгласно CPS на B-Тrust (виж по-горе);
-списъци на прекратени/временно
спряни сертификати;
-удостоветяване на време
при подписване на документ (time stamp, в бъдеще);
-смарт-карти за електронно
удостоверяване и четци на смарт-карти.
А2) Допълнителни (разработени
от Банксервиз)
-(eStarter_Kit) - стартов
пакет за удостоверяване (електронно подписване) и валидация на
електронен подпис (с опция за конфиденциалност) – освен издаден
сертификат (на смарт-карта), още включва карточетец, и допълнителен
софтуер - ПИН-мениджър (PIN-Manager), CRL-мениджър (CRL-Manager);
-(eProfessional_Kit) -
професионален пакет – включва възможностите на eStarter_Kit и
допълнително сигурни/отозризирани (одобрени от B-Тrust®) програмни
средства (софтуер) за генериране/създаване на асиметрична двойка
ключове, на заявка за сертификат (CSR) и на PSE (Personal Security
Environment) в PKCS#12 формат и записване на сертификат на смарт-карта.
към началото
Б) Услуги:
Б1) по издаване на сертификати:
-заявка/идентифициране/издаване-подтвърждаване
на сертификат (application/identification/retrieval);
-публикуване на издавани сертификати (в
електронен регистър);
Б2) по управление на сертификати:
-преиздаване на сертификат (renew);
-прекратяване на сертификат (revoke) ;
-временно спиране на сертификат (до 48
часа);
-възобновяване на сертификат;
Б3) по информация за сертификати:
-търсене/предоставяне на сертификат (по
име);
-проверка на сертификат за валидност;
-елeктронно отдалечено доставяне/зареждане
на сертификат на Root_CA, CA;
-електронно отдалечено зареждане/доставка
на CRL-списък;
към началото
Начало