PKI Disclosure Statement - PDS)

Questo documento contiene le informazioni essenziali da conoscere in relazione al servizio di Marca temporale qualificata dell’Ente di Certificazione AZIENDA ZERO.

Questo documento segue la struttura definita nell’Allegato B della norma ETSI EN 319 421-1.

Il presente documento fornisce dichiarazioni di alto livello in relazione al servizio di marca temporale elettronica qualificata di Azienda Zero. Non sostituisce né abroga nessuna altra politica di AZIENDA ZERO reperibile sul sito https://azero.veneto.it/ca/.

1.2. Informazioni di contatto

1.2.1. Organizazione responsabile

AZIENDA ZERO

SEDE LEGALE: PASSAGGIO LUIGI GAUDENZIO, 1 - 35131 PADOVA TELEFONO: 049/8778178, 049/8778236, 049/8778249

EMAIL: supporto.ca@azero.veneto.i t

1.2.2. Contatto

Per qualsiasi quesito rivolgersi a:

AZIENDA ZERO

TELEFONO: 049/8778178, 049/8778236, 049/8778249

EMAIL: supporto.ca@azero.veneto.i t

1.2.3. Contatto per i procedimenti di revoca

Per qualsiasi quesito rivolgersi a:

Azienda Zero

TELEFONO: 049/8778178, 049/8778236, 049/8778249 EMAIL: SUPPORTO .CA @AZERO .VENETO .IT

1.3. Tipologie e utilizzo delle marche temporali elettroniche

Il servizio di marca temporale elettronica qualificato segue le indicazioni del PDS del certificato della TSU con l’OID 1 1.3.6.1.4.1.52658.1.2.1.

Il servizio erogato da Azienda Zero è conforme alla politica Best Practices Policy for Time- Stamp (BTSP) definita nel ETSI319421, identificato con l’OID 0.4.0.2023.1.1.

itu-t(0) identified-organization(4) etsi(0) time-stamp-policy(2023)

policy-identifiers(1) baseline-ts-policy (1)

0.4.0.2023.1.1.

Le marche temporali elettroniche dichiarate come qualificate rispettano le indicazioni del Regolamento UE 910/2014 e il certificato della TSU è emesso in conformità alla politica dichiarata nell’ETSI EN 319 411-2.

I clienti che ricevono tale servizio di marca elettronica sono obbligati a ottemperare a quanto disposto dalla vigente normativa, a rispettare quanto indicato nei contratti firmati con la presente Autorità, a verificare l’esattezza della firma della marca temporale, la validità del certificato della TSU, così come verificare che l’hash della marca temporale coincida con quella inviata.

1.3.1. Contenuto della marca temporale

Ciascuna marca temporale emessa da AZIENDA ZERO contiene tutta le informazioni richieste dalla Normativa vigente, come:

1. il numero di serie della marca temporale;

2. l’algoritmo di firma della marca temporale. In tal caso l’algoritmo utilizzato è l’ RSA (SHA256rsa 1.2.840.113549.1.1.11);

3. L’identificativo (codice d’identificazione) del certificato relativo alla Chiave pubblica della TSU;

4. la data e l’ora della marca temporale;

5. L’accuratezza della fonte temporale (il valore massimo consentito è di un secondo);

6. L’identificativo dell’algoritmo di hash utilizzato per generare il fingerprint (la traccia informatica). In tal caso l’algoritmo utilizzato è SHA-256 (OID: 2.16.840.1.101.3.4.2.1.);

7. Il valore del fingerprint (la traccia informatica).

1.3.2. Verifica dei certificati

La verifica dello stato dei certificatisi realiza tramite:

- Acceso al servicio OCSP: http://ocsp1.uanataca.com/public/pki/ocsp/

- Download della CRL: http://crl1.uanataca.com/public/pki/crl/azeroTSA.crl

1.3.3. Sottoscrittori

Il sottoscrittore è la persona fisica o giuridica che ha stipulato i servizi di marca temporale elettronica di Azienda Zero.

1.3.4. Entità erogante

I servizi di marca temporale elettronica qualificata sono erogati da Azienda Zero, identificata mediante i dati indicati in precedenza.

1.3.5. Comunità degli utenti e applicabilità

Gli utenti del servizio saranno principalmente le applicazioni e/o i sistemi dei clienti (persone fisiche o giuridiche) che hanno contrattato i servizi di Azienda Zero.

I servizi di marca temporale elettronica forniti dalla TSU di Azienda Zero si considerano come servizi forniti da Azienda Zero dinanzi al supervisore nazionale, nel rispetto della vigente normativa tecnica e legale.

1.4. Limiti di utilizzo del certificato

Le marche temporali elettroniche limitano il loro utilizzo alle applicazioni e/o ai sistemi dei clienti (persone fisiche o giuridiche) che hanno stipulato tali servizi.

Non saranno utilizzate marche temporali elettroniche per finalità distinte da quelle summenzionate.

1.4.1. Accuratezza dell’orario

Il servizio di Marca temporale qualificata di AZIENDA ZERO si basa sull’uso del protocollo TSP su HTTP, definito nella norma RFC 3161 “Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)”.

AZIENDA ZERO dispone di una fonte attendibile di tempo di alta qualità che consente un livello di affidabilità di STRATUM 3, via NTP, con CSUC.

L’accuratezza del servizio di Marca temporale qualificata di AZIENDA ZERO è di un secondo rispetto all’UTC.

1.5. Obblighi dei sottoscrittori

Il sottoscrittore si impegna a:

• realizzare le richieste di marche temporali elettroniche qualificate in accordo con la procedura e gli strumenti forniti da Azienda Zero, in conformità con quanto stabilito nella CPS-Manuale Operativo di Azienda Zero;

• seguire le indicazioni specificate nel PDS del certificato della TSU di AZIENDA ZERO;

• verificare le firme elettroniche contenute nelle marche temporali elettroniche, compresa la validità del certificato utilizzato;

• utilizzare le marche temporali elettroniche entro i limiti e per i fini descritti in questa TSUDS.

1.6. Obblighi dei verificatori

1.6.1. Decisione informata

Il verificatore si impegna a rispettare i requisiti tecnici, operativi e di sicurezza descritti nella DPC di Azienda Zero.

1.6.2. Requisiti di verifica della firma elettronica corrispondente alla marca temporale elettronica qualificata

La verifica verrà eseguita normalmente in forma automatica dal software del verificatore e, in ogni caso, in conformità con la DPC e con questa TSUDS.

1.6.3. Approvazione di una firma elettronica non verificata corrispondente a una marca temporale elettronica qualificata

Se il verificatore approva una firma elettronica relativa ad una marca temporale elettronica non verificata si assumerà tutti i rischi derivanti da tale azione.

1.6.4. Effetto della verifica

In virtù della corretta verifica dei certificati di marca temporale elettronica, in conformità con questa informativa (PDS), il verificatore può confidare nelle informazioni fornite

1.6.5. Uso correcto e attività proibite

Il verificatore si impegna a non utilizzare alcun tipo di informazione sullo stato delle marche temporali elettroniche qualificate o di nessun altro genere che sia stata fornita da AZIENDA ZERO nella realizzazione di una transazione vietata dalla normativa applicabile alla summenzionata transazione.

Il verificatore si impegna a non ispezionare, interferire o realizzare reverse engineering dell’implementazione tecnica dei servizi pubblici di certificazione di Azienda Zero senza previa autorizzazione scritta.

Inoltre, il verificatore si impegna a non compromettere intenzionalmente la sicurezza dei servizi pubblici della marca temporale di Azienda Zero.

I servizi di marca temporale elettronica qualificata erogati da Azienda Zero non sono stati progettati né permettono l’utilizzo o la rivendita come apparecchiature di controllo per situazioni pericolose non autorizzate o per usi che richiedano azioni di sicurezza, quali le operazioni di installazioni nucleari, sistemi di navigazione, comunicazione aerea o sistemi di controllo degli armamenti, ove un errore possa causare la morte, danni fisici o danni ambientali gravi.

1.7. Obblighi di AZIENDA ZERO

In relazione alla fornitura del servizio di marca temporale elettronica qualificata Azienda Zero si impegna a:

a) erogare, cedere e amministrare le marche qualificate in accordo con le istruzioni fornite dal sottoscrittore nei casi e per i motivi descritti nella DPC di Azienda Zero;

b) eseguire i servizi con i mezzi tecnici e i materiali adeguati e con personale che rispetti le condizioni di qualifica ed esperienza stabilite nella DPC;

c) rispettare i livelli di qualità del servizio, in conformità con quanto stabilito nella DPC relativamente agli aspetti tecnici, operativi e di sicurezza.

1.8. Garanzia

1.8.1. Garanzia di AZIENDA ZERO per i servizi di marca temporale elettronica qualificata

AZIENDA ZERO garantisce al sottoscrittore che le marche temporali rispettino tutti i requisiti materiali stabiliti nella DPC.

AZIENDA ZERO garantisce che l’informazione contenuta o incorporata nella marca temporale è corretta fatto salvo i casi in cui sia espressamente indicato il contrario.

In aggiunta, AZIENDA ZERO garantisce al sottoscrittore e alla parte terza della marca temporale la responsabilità di Ente di certificazione con i limiti che sono stabiliti.

1.8.2. Esclusione della garanzia

AZIENDA ZERO respinge qualsiasi altra garanzia diversa dalla precedente che non sia legalmente esigibile.

1.9. Accordi applicabili e DPC

1.9.1. Accordi applicabili

Gli accordi applicabili alla marca temporale qualificata elettronica sono i seguenti:

− contratto di servizio di certificazione che regola la relazione tra Azienda Zero e l’impresa che sottoscrive le marche temporali elettroniche qualificate;

− condizioni generali del servizio incluse nell’informativa (PDS) del certificato della TSU;

− le condizioni incorporate nell’informativa TSUDS delle marche temporali elettroniche;

− DPC che regolano l’emissione e l’utilizzo dei certificati di marca temporale elettronica.

1.9.2. DPC

I servizi di marca temporale elettronica qualificata di AZIENDA ZERO sono regolati tecnicamente e operativamente dalla DPC di Azienda Zero, dagli aggiornamenti successivi, così come dalla documentazione complementare.

La DPC e la documentazione operativa sono modificate periodicamente nel Registro e possono essere consultate nella pagina Internet: https://azero.veneto.it/ca/

1.10. Politica sulla Privacy

Consultare il punto 9.4 del Mnuale Operativo di Azienda Zero.

1.11. Politica di rimborso

Azienda Zero non rimborserà il costo del servizio di marca temporale in nessun caso.

1.12. Normativa applicabile, giurisdizione competente e regime dei reclami e dispute

Le relazioni con Azienda Zero sono regolate dalla normativa in materia di servizi fiduciari vigente, così come dalla legislazione civile e commerciale nei casi in cui applicabile.

In caso di disaccordo tra le parti, queste tenteranno la conciliazione amichevole. A tal fine le parti dovranno indirizzare una comunicazione a Azienda Zero tramite qualsivoglia mezzo che conservi traccia dell’indirizzo del contatto indicato nel punto 1 di questo documento.

Nel caso in cui le parti non raggiungano un accordo in merito, qualunque di loro potrà sottoporre la controversia alla giurisdizione civile con assoggettamento i tribunali della sede legale di Azienda Zero.

Un approfondimento delle informazioni relative alla risoluzione delle dispute è disponibile all’indirizzo https://azero.veneto.it/ca/.

1.13. Accreditamento e audit di conformità

Azienda Zero è inclusa nella lista dei Prestatori di servizi fiduciari (TSL) italiana. Parimenti, è registrata come prestatore di servizi fiduciari elettronici qualificati presso l’organismo Nazionale di Accreditamento e Vigilanza, AgID.

In accordo con quanto indicato nel Regolamento UE 910/2014, AZIENDA ZERO realizzerà audit di conformità ogni 2 anni.

1.14. Divisibilità delle disposizioni, sopravvivenza, accordo integrale e notifiche

Le clausole della presente informativa sono indipendenti tra di loro, ragione per la quale se qualsivoglia clausola è considerata invalida o inapplicabile le restanti clausole della PDS continueranno a essere applicabili, eccetto che le parti abbiano pattuito diversamente.

I requisiti contenuti nelle sezioni 9.6.1 (Obblighi e responsabilità), 8 (Audit di conformità) e 9.3 (Confidenzialità) del Manuale Operativo di Azienda Zero resteranno in vigore dopo la cessazione del servizio.

Questo testo contiene la volontà completa e tutti gli accordi tra le parti.

Le parti si informano dei fatti reciprocamente tramite l’invio di mail ai seguenti indirizzi:

• info@Azienda Zero.com da parte di AZIENDA ZERO;

• l’indirizzo mail indicato dal firmatario nel contratto con AZIENDA ZERO.

Document Metadata

Table of Contents

PKI Disclosure Statement - PDS)

Document Metadata