PKI Disclosure Statement - PDS)

I seguenti certificati emessi da AZIENDA ZERO sono qualificati in ottemperanza all’art. 28 e all’Allegato I del Regolamento (UE) 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 e si conformano a quanto disposto dalla normativa tecnica identificata con il riferimento ETSI EN 319 411-2. UANATACA ha assegnato a ciascun tipo di certificato

un identificativo di oggetto (OID), per la sua identificazione nelle applicazioni, così come dettagliate di seguito:

Numero OID	Tipologia di certificato
1.3.6.1.4.1.52658.1.1.1	Certificato qualificato di sottoscrizione in QSCD remoto

1.3. Finalità dei certificati

1.3.1. Previsioni comuni

I certificati qualificati descritti in questo documento garantiscono l’identità del sottoscrittore e della persona indicata nel certificato, consentendo la generazione della “firma elettronica qualificata”.

I certificati qualificati descritti nel presente documento e emessi in QSCD funzionano con dispositivi qualificati di creazione di firma, in accordo con gli articoli 29 e 51 del Regolamento (UE) 910/2014, e adempiono a quanto disposto dalla normativa tecnica dell'Istituto Europeo per gli Standard nelle Telecomunicazioni, identificata con il riferimento EN 319 411-2. Tali certificati qualificati assicurano l’identità del firmatario, consentendo la generazione della “firma elettronica qualificata”, ovvero la firma elettronica avanzata che sia basata su un certificato qualificato e che sia stata generata impiegando un dispositivo qualificato, il cui effetto legale si equipara a quello della firma scritta senza che sia necessario rispettare nessun altro requisito addizionale

1.3.2. Certificato qualificato di firma di persona fisica in QSCD remoto

Questo certificato dispone dell’OID 1.3.6.1.4.1.52658.1.1.1. È un certificato qualificato emesso per la firma elettronica qualificata in accordo con la politica di certificazione QCP- n-qscd con l’OID 0.4.0.194112.1.2, che è dichiarato nel certificato. Tale certificato, emesso in QSCD, è un certificato qualificato in accordo con quanto previsto nell’articolo 28 del Regolamento (UE) 910/2014 eIDAS.

Possono, inoltre, utilizzarsi in applicazioni che non richiedono la firma elettronica equivalente alla firma scritta, quali le applicazioni indicate di seguito:

a) firma di posta elettronica sicura;

b) altre applicazioni di firma elettronica.

Il campo “key usage” attiva exclusivamente la funzione di Content commitment.

1.4. Limiti di utilizzo del certificato

1.4.1. Limiti di utilizzo indirizzati ai firmatari

Il firmatario deve utilizzare il servizio di certificazione dei certificati erogato da Azienda Zero esclusivamente per gli usi autorizzati nel contratto sottoscritto tra Azienda Zero e il firmatario e che sono enunciati di seguito (sezione “Obblighi dei firmatari”).

Parimenti, il firmatario si impegna a utilizzare il servizio di certificazione digitale in accordo con le istruzioni, i manuali o i procedimenti forniti da Azienda Zero.

Il firmatario deve attenersi a qualsiasi normativa e regolamentazione che possa influire sul suo diritto all’utilizzo degli strumenti crittografici che impiega.

Il firmatario non può impiegare mezzi di controllo, alterazione o reverse engineering dei servizi di certificazione digitale di Azienda Zero senza previo consenso espresso.

1.4.2. Limiti di utilizzo indirizzati ai verificatori

I certificati sono utilizzati per le funzioni e le finalità stabiliti senza che possano essere impiegati per altre funzioni e con altre finalità.

In egual modo, i certificati devono impiegarsi unicamente in accordo con la normativa applicabile, in particolare tenendo contro delle restrizioni alle importazioni e alle esportazioni esistenti in ogni momento.

I certificati non possono utilizzarsi per firmare certificati di chiave pubblica di nessun tipo, né firmare elenchi di revoca di certificati (CRL).

I certificati non sono stati progettati ne possono essere destinati e non se ne autorizza l’uso o la rivendita come apparecchiature di controllo per situazioni pericolose non autorizzate o per usi che richiedano misure di sicurezza, quali le operazioni di installazioni nucleari, sistemi di navigazione, comunicazione aerea o sistemi di controllo degli armamenti, ove un errore possa causare la morte, danni fisici o danni ambientali gravi.

Devono tenersi in conto i limiti indicati nei diversi campi dei profili dei certificati visibili sul sito web di Azienda Zero (xxxxx://xxxxx.xxxxxx.xx/xx).

L’impiego dei certificati digitali in operazioni che contravvengano a questa informativa o ai contratti con i sottoscrittori è considerato uso indebito per gli opportuni effetti legali,

esonerando pertanto Azienda Zero, in funzione della normativa vigente, per qualsiasi responsabilità per l’uso indebito dei certificati che realizza il firmatario o qualsiasi terza parte.

Azienda Zero non ha accesso ai dati relativi all’utilizzo di un certificato. Pertanto, e in conseguenza dell’impossibilità tecnica di accedere al contenuto del messaggio, non è possibile da parte di Azienda Zero emettere alcun giudizio su tale contenuto, assumendosi, dunque, il sottoscrittore, il firmatario o la persona responsabile della conservazione, ogni responsabilità derivante dal contenuto legato all’uso del certificato. Parimenti, sarà imputabile al sottoscrittore, al firmatario o alla persona responsabile della conservazione qualsiasi responsabilità che possa derivare dall’utilizzo dello stesso al di fuori dei limiti e delle condizioni d’uso raccolte in questa informativa o nei contratti con i sottoscrittori, così come qualsiasi altro uso indebito dello stesso derivato da questo paragrafo o che possa essere interpretato come tale in funzione della normativa applicabile.

1.5. Obblighi dei sottoscrittori

1.5.1. Generazione delle chiavi

Il sottoscrittore autorizza Azienda Zero a gestire in accordo con i metodi e i procedimenti concordati l’emissione di chiavi private e pubbliche per i firmatari e sollecita a suo nome l’emissione del certificato in accordo con le politiche di certificazione di Azienda Zero.

1.5.2. Richiesta dei certificati

Il sottoscrittore si impegna ad adempiere alle richieste di certificati qualificati in accordo con il procedimento e, se necessario, con i componenti tecnici forniti da Azienda Zero in conformità con quanto stabilito nella Dichiarazione delle Pratiche di Certificazione (DPC) e nella documentazione operativa di Azienda Zero.

1.5.3. Obblighi di informazione

Il sottoscrittore si assume la responsabilità che tutte le informazioni incluse nella richiesta del certificato siano esatte, complete ai fini del certificato e sia aggiornata in ogni momento.

Il sottoscrittore deve informare immediatamente Azienda Zero:

− di qualsiasi inesattezza rilevata nel certificato una volta che sia stato emesso;

− dei cambiamenti che si verifichino nelle informazioni riportate e/o registrate per l’emissione del certificato;

della perdita, del furto o di qualsiasi altro tipo di perdita di controllo della chiave privata da parte del firmatario.

1.6. Obblighi dei firmatari

1.6.1. Obblighi de custodia

Il firmatario si impegna a conservare il codice di identificazione personale o qualsivoglia supporto tecnico consegnato da Azienda Zero, le chiavi private e, qualora necessario, le specificazioni proprietà di Azienda Zero che le siano fornite.

In caso di perdita o di furto della chiave privata del certificato o nel caso in cui il firmatario sospetti che la chiave privata abbia perso affidabilità per qualsiasi motivo, tali circostanze devono essere immediatamente notificate all’Autorità di registrazione di riferimento o a Azienda Zero.

1.6.2. Obblighi di uso corretto

Il firmatario deve utilizzare il servizio di certificazione dei certificati della persona fisica fornito da Azienda Zero esclusivamente per gli usi autorizzati nel Manuale Operativo e in qualsiasi altra istruzione, manuale o procedimento fornito al sottoscrittore.

Il firmatario deve attenersi a qualsiasi normativa e regolamentazione che possa influire sul suo diritto all’utilizzo degli strumenti crittografici che impiega.

Il firmatario non può impiegare mezzi di controllo, alterazione o decompilazione dei servizi di certificazione digitale erogati.

Il firmatario riconoscerà:

a) che quando utilizza qualsiasi certificato e qualora il certificato non sia scaduto né sia stato sospeso o revocato avrà accettato il suddetto certificato e sarà operativo;

b) che non agirà come ente di certificazione e, pertanto, si impegna a non utilizzare le chiavi private corrispondenti alle chiavi pubbliche contenute nei certificati con il proposito di firmare un certificato;

c) che in caso che sia compromessa la chiave privata deve cessare immediatamente e permanentemente il suo utilizzo e procedere in accordo con questo documento.

1.7. Obblighi dei verificatori

1.7.1. Decisione informata

Azienda Zero informa il verificatore che ha accesso a informazioni sufficienti per prendere una decisione informata al momento di verificare un certificato ed ha certezza delle informazioni contenute nel suddetto certificato.

In aggiunta, il verificatore riconoscerà che l’uso del Registro e degli elenchi di revoca dei Certificati (di seguito “CRL”) di Azienda Zero sono disciplinati dal Manuale Operativo di Azienda Zero e si impegnerà ad adempiere ai requisiti tecnici, operativi e di sicurezza descritti nel summenzionato Manuale Operativo.

In aggiunta, il verificatore riconoscerà che l’uso del Registro e degli elenchi di revoca dei Certificati (di seguito “CRL”) di UANATACA sono disciplinati dal Manuale Operativo di UANATACA e si impegnerà ad adempiere ai requisiti tecnici, operativi e di sicurezza descritti nel summenzionato Manuale Operativo.

1.7.2. Requisiti di verifica della firma elettronica

La verifica sarà eseguita normalmente in maniera automatica dal software del verificatore e, in ogni caso, in accordo con il Manuale Operativo con i requisiti seguenti:

− è necessario utilizzare un software appropriato per la verifica di una firma elettronica con algoritmi e lunghezze di chiavi indicate nel certificato e/o eseguire qualunque altra operazione crittografica e stabilire la catena dei certificati sui quali si basa la firma elettronica da verificare, dato che la firma elettronica si verifica utilizzando questa catena di certificati;

− è necessario assicurare che la catena dei certificati identificata sia la più adeguata alla firma elettronica che si verifica, dato che una firma elettronica può basarsi su più di una catena di certificati ed è una decisione del verificatore assicurarsi l’uso della catena più adeguata a verificarla;

− è necessario verificare lo stato di revoca dei certificati della catena con l’informazione fornita al Registro di Azienda Zero (con CRL per esempio) per determinare la validità di tutti i certificati della catena di certificati, dal momento che può unicamente considerarsi verificata correttamente una firma elettronica se tutti e ognuno dei certificati della catena sono corretti e sono in vigore;

− è necessario assicurare che tutti i certificati della catena autorizzino l’uso della chiave privata da parte del sottoscrittore del certificato e del firmatario, dal momento che esiste la possibilità che qualche certificato includa limiti di utilizzo che impediscano di avere certezza della firma elettronica che si verifica. Ciascun certificato della catena dispone di un indicatore che fa riferimento alle condizioni d’utilizzo applicabili per la sua revisione da parte dei verificatori.

è necessario verificare tecnicamente la firma di tutti i certificati della catena prima di accertare il certificato utilizzato dal firmatario.

1.7.3. Attendibilità di un certificato non valido

Se il verificatore considererà attendibile un certificato non valido, assumerà tutti i rischi derivati da tale azione.

1.7.4. Effetto della verifica

In virtù della corretta verifica dei certificati in conformità con questa informativa, il verificatore può avere certezza dell’identificazione e, in tal caso, della paternità della chiave pubblica del firmatario entro i limiti d’uso corrispondenti.

1.7.5. Utilizzo corretto e attività proibite

Il verificatore si impegna a non utilizzare alcuna informazione relativa ai certificati o di nessun altro tipo che sia stata fornita da Azienda Zero nella realizzazione di transazioni vietate per legge.

Il verificatore si impegna a non controllare, interferire o realizzare reverse engineering dell’implementazione tecnica dei servizi pubblici di certificazione di Azienda Zero senza previa autorizzazione scritta.

Inoltre, il verificatore si impegna a non compromettere intenzionalmente la sicurezza dei servizi pubblici di certificazione di Azienda Zero.

I servizi di certificazione digitale erogati da Azienda Zero non sono stati progettati né permettono l’utilizzo o la rivendita come apparecchiature di controllo per situazioni pericolose non autorizzate o per usi che richiedano azioni soggette a errore, quali le operazioni di installazioni nucleari, sistemi di navigazione, comunicazione aerea o sistemi di controllo degli armamenti, ove un errore possa causare la morte, danni fisici o danni ambientali gravi.

1.7.6. Clausola d’indennità

Il terzo che verifica la validità del certificato s’impegna a mantenere indenne Azienda Zero da tutti i danni provenienti da qualunque azione o omissione che si concretizzi nella responsabilità, nel danno, nella perdita o in un costo di qualunque tipo, compresi quelli legali e di assistenza legale nella quale possano incorrere, per la pubblicazione e l’uso del certificato, quando concorra una delle cause seguenti:

- inadempimento degli obblighi da parte del terzo che accerta il certificato;

- autorizzazione imprudente di un certificato a seconda delle circostanze;

- mancato accertamento dello stato di un certificato per determinare che non sia stato sospeso o revocato;

- mancato accertamento della totalità delle misure assicurative prescritte nel Manuale Operativo.

1.8. Obblighi di Azienda Zero

1.8.1. In relazione alla prestazione del servizio di certificazione digitale

Azienda Zero si impegna a:

a) emettere, consegnare, gestire, sospendere, riattivare, revocare e rinnovare i certificati in accordo con le istruzioni fornite dal sottoscrittore e/o dal firmatario nei casi e per i motivi descritti nel Manuale Operativo di Azienda Zero.

b) eseguire i servizi con i mezzi tecnici e materiali adeguati e con personale che rispetti le condizioni di qualifica e d’esperienza stabilite nel Manuale Operativo.

c) rispettare i livelli di qualità del servizio, in conformità con quanto stabilito nel Manuale Operativo per quanto riguarda gli aspetti tecnici, operativi e di sicurezza;

d) notificare al sottoscrittore e al firmatario, anteriormente alla data di scadenza dei certificati, la possibilità di rinnovarli, così come la sospensione, la proroga della sospensione o la revoca dei certificati, qualora si manifestino le suddette circostanze;

e) comunicare ai terzi che ne facciano richiesta lo stato dei certificati in accordo con quanto stabilito nel Manuale Operativo per i diversi servizi di verifica dei certificati.

1.8.2. In relazione alle verifiche del registro

Azienda Zero si impegna all’emissione dei certificati in base ai dati forniti dal sottoscrittore percui potrà realizzare le verifiche che consideri opportune in riferimento all’identità e ad altre informazioni personali e complementari dei sottoscrittori e, quando risulti adeguato, dei firmatari.

Tali verifiche potranno includere qualsiasi altro documento e informazione rilevante fornita dal sottoscrittore e/o dal firmatario.

Nel caso che Azienda Zero riscontri errori nei dati che si devono includere nei certificati, potrà realizzare le modifiche che consideri necessarie prima di emettere il certificato o sospendere il processo di emissione e gestire con il sottoscrittore il caso corrispondente. Azienda Zero si riserva il diritto di non emettere il certificato qualora consideri che la giustificazione documentale sia insufficiente per la corretta identificazione e autenticazione del sottoscrittore e/o del firmatario.

Gli obblighi precedenti sono sospesi nei casi nei quali il sottoscrittore agisca come autorità di registrazione e disponga degli elementi tecnici inerenti alla generazione delle chiavi, all’emissione dei certificati e alla registrazione dei dispositivi di firma aziendale.

1.8.3. Periodo di conservazione

Azienda Zero archivia le registrazioni corrispondenti alle richieste di emissione e di revoca dei certificati per almeno 20 anni.

Azienda Zero conserverà le informazioni del logs per un periodo compreso tra 1 e 20 anni in funzione del tipo di informazione registrata in accordo a quanto previsto dalle sue politiche e procedimenti.

1.9. Garanzia

1.9.1. Garanzia di Azienda Zero per i servizi di certificazione digitale

Azienda Zero garantisce al sottoscrittore:

− che non ci siano errori di fatto nelle informazioni contenute nei certificati noti o realizzati dall’Autorità di Certificazione;

− che non ci siano errori di fatto nelle informazioni contenute nei certificati dovute a mancanza della dovuta diligenza nella gestione della richiesta del certificato o nella creazione dello stesso;

− che i certificati rispettino tutti i requisiti materiali stabiliti nel Manuale Operativo;

− che i servizi di revoca rispettino tutti i requisiti materiali stabiliti nel Manuale Operativo.

Azienda Zero garantisce al terzo che accerta il certificato:

− che le informazioni contenute o incluse come riferimento nel certificato siano corrette, tranne quando sia indicato il contrario;

− in caso di certificati pubblicati nel deposito, che il certificato sia stato emesso al sottoscrittore e al firmatario identificato nello stesso e che il certificato sia stato accettato;

− che nell’approvazione della richiesta di certificato e nell’emissione del certificato siano stati rispettati tutti i requisiti materiali stabiliti nel Manuale Operativo;

− la velocità e la sicurezza nell’erogazione dei servizi, in particolare dei servizi di revoca e deposito.

In aggiunta, Azienda Zero garantisce al sottoscrittore e al terzo che accerta il certificato:

− che il certificato qualificato per la firma contenga le informazioni che debba contenere un certificato qualificato, in accordo con quanto stabilito nell’articolo

28 del Regolamento (UE) 910/2014 adempiendo a quanto disposto dalla normativa tecnica identificata con il riferimento ETSI EN 319 411-2;

− che, nel caso in cui si generi la chiave privata del sottoscrittore o, all’occorrenza, della persona fisica identificata nel certificato, se ne mantenga la confidenzialità durante il processo;

- la responsabilità dell’Autorità di Certificazione, con i limiti che vengano stabiliti. In nessun caso Azienda Zero risponderà per caso fortuito o per forza maggiore.

1.9.2. Esclusioni della garanzia

Azienda Zero rigetta tutte le altre garanzie diverse alla precedente che non siano legalmente esigibili.

In particolare, Azienda Zero non garantirà alcun software utilizzato da qualsivoglia persona per firmare, verificare le firma, cifrare, decifrare o utilizzare in altra forma alcun certificato digitale emesso da Azienda Zero, tranne nei casi in cui esista una dichiarazione scritta in senso contrario.

1.10. Accordi applicabili e Manuale Operativo

1.10.1. Accordi applicabili

Gli accordi applicabili ai certificati sono i seguenti:

- Contratto dei servizi di certificazione che disciplina la relazione tra Azienda Zero e il sottoscrittore dei certificati;

- Condizioni generali del servizio incluse in questo documento;

- Dichiarazione delle Pratiche di Certificazione che disciplinano l’emissione e l’utilizzo dei certificati.

1.10.2. Manuale Operativo (CPS)

I servizi fiduciari di Azienda Zero sono regolati tecnicamente e operativamente dal Manuale Operativo (CPS) di Azienda Zero, dagli aggiornamenti successivi così come dalla documentazione complementare.

La documentazione è modificata periodicamente nel registro e può essere consultata nella pagina internet xxxxx://xxx.xxxxxxxx.xxx.

1.11. Politica sulla privacy

Azienda Zero non può divulgare né può essere obbligata a divulgare informazioni confidenziali a meno di una richiesta specifica proveniente da:

a) la persona rispetto alla quale Azienda Xxxx ha l’obbligo di mantenere le informazioni confidenziali, o

b) un mandato giudiziario, amministrativo o di qualsiasi altro genere previsto dalla legislazione vigente.

Tuttavia, il sottoscrittore accetta che una determinata informazione personale o di altro tipo, fornita nella richiesta di certificati, sia inclusa nei certificati e nel meccanismo di verifica dello stato dei certificati, e che l’informazione menzionata non abbia carattere confidenziale per legge.

Azienda Zero dispone di una politica di privacy (fare riferimento al Manuale Operativo )e della specifica regolamentazione sulla privacy in relazione al processo di registrazione, alla confidenzialità della registrazione, alla protezione dell’accesso alle informazioni personali e al consenso dell’utente.

Parimenti, si osserva che la documentazione giustificativa di approvazione della richiesta deve essere conservata e debitamente registrata e con garanzie di sicurezza e integrità per 20 anni dalla scadenza del certificato, compreso il caso di perdita anticipata di validità per revoca.

1.12. Politica di rimborso

Azienda Zero non rimborserà il costo del servizio di certificazione in nessun caso.

1.13. Normativa applicabile e giurisdizione competente

Le relazioni con Azienda Zero sono disciplinate da quanto previsto dal Regolamento (UE) 910/2014 eIDAS, dalle leggi spagnole e, in particolare, da tutte quelle che emanate nella loro politica di attuazione.

La giurisdizione competente è quella indicata dalla Legge 1/2000 del 7 gennaio del Codice di procedura civile.

1.14. Elenco dei Prestatori qualificati di servizi fiduciari elettronici

xxxxx://xxx.xxxx.xxx.xx/xx/xxxxxxxxxxx/xxxxx-xxxxxxxxxxx-xxxxxxxxxxx/xxxxxxxxxx-xxxxxxx- fiduciari-qualificati

1.15. Divisibilità delle disposizioni, accordo integrale e notifiche

Le clausole della presente informativa sono indipendenti tra di loro, ragione per la quale se qualsivoglia clausola è considerata invalida o inapplicabile le restanti clausole della PDS continueranno a essere applicabili, eccetto che le parti abbiano pattuito diversamente.

I requisiti contenuti nelle sezioni 9.6.1 (Obblighi e responsabilità), 8 (Audit di conformità) e 9.3 (Confidenzialità) del Manuale Operativo di Azienda Zero resteranno in vigore dopo la cessazione del servizio.

Questo testo esprime la volontà completa e tutti gli accordi tra le parti.

Le notifiche tra le parti avvengono tramite l’invio di mail ai seguenti indirizzi:

• l’indirizzo mail indicato dal firmatario nel contratto con Azienda Zero.

Document Metadata

Table of Contents

PKI Disclosure Statement - PDS)

Document Metadata