Informativa per i certificati di
TSA Disclosure Statement (Time Stamping Authority)
Informativa per i certificati di
Marcatura Temporale
Indice
INDICE 2
INFORMAZIONI GENERALI 4
CONTROLLO DOCUMENTALE 4
CLASSIFICAZIONE FORMALE 4
CONTROLLO DELLE VERSIONI 4
1. INFORMATIVA APLICABILE AL SERVIZIO DI MARCATURA TEMPORALE 5
1.1. Accordo completo 5
1.2. Informazioni di contatto 5
1.2.1. Organizzazione e relativi contatti 5
1.2.2. Contatto 5
1.2.3. Contatto per le procedure di revoca 6
1.3. Tipologie e utilizzo delle marche temporali elettroniche 6
1.3.1. Contenuto della marca temporale 6
1.3.2. Verifica dei certificati 7
1.3.3. Sottoscrittori 7
1.3.4. Entità erogante 7
1.3.5. Comunità degli utenti e applicabilità 7
1.4. Limiti di utilizzo del certificato 7
1.4.1. Accuratezza dell’orario 8
1.5. Obblighi dei sottoscrittori 8
1.6. Obblighi di verifica delle terze parti interessate 8
1.6.1. Decisione informata 8
1.6.2. Requisiti di verifica della firma elettronica corrispondente alla marca temporale elettronica qualificata 8
1.6.3. Approvazione di una firma elettronica non verificata corrispondente a una marca temporale elettronica qualificata 9
1.6.4. Effetto della verifica 9
1.6.5. Uso corretto e attività proibite 9
1.7. OBBLIGHI DI UANATACA S.A 9
1.8. Garanzia e limitazione di responsabilità 9
1.8.1. Garanzia di UANATACA S.A. per i servizi di marcatura temporale elettronica qualificata 10
1.8.2. Esclusione della garanzia 10
2. ACCORDI APPLICABILI 11
2.1. Accordi applicabili 11
2.1.1. Manuale Operativo - Certification practice statement (CPS) 11
2.2. Politica sulla Privacy 11
2.3. Politica di rimborso 12
2.4. Normativa applicabile, foro competente e regime dei reclami e dispute 12
2.5. Accreditamento e audit di conformità 12
2.6. Disposizioni e relativa sopravvivenza, accordo integrale e notifiche 13
INFORMAZIONI GENERALI
CONTROLLO DOCUMENTALE
Classificazione di sicurezza: | Pubblico |
Versione: | 1.1 |
Data di edizione: | 30/03/2020 |
File: | TSA_Disclosure_Statement_v.1.1_IT |
CLASSIFICAZIONE FORMALE
Preparato da: | Rivisto da: | Approvato da: |
Legal & Compliance - Xxxx Xxxxxxxxxx - Xxxxxxxxxx Xxxxxxxxx | Area Servizi Legal & Compliance | Direzione |
CONTROLLO DELLE VERSIONI
Versione | Parti modificate | Descrizione modifica | Data |
1.0 | Originale | Creazione del documento | 31/03/2020 |
1.1 | Struttura e formattazione del documento /Capitolo 1 | - Capitolo 1: inserimento riferimenti normativi: - Inserimento nuovo logo; - Adeguamento formattazione per uniformità documentale; | 01/12/2020 |
1. INFORMATIVA APLICABILE AL SERVIZIO DI MARCATURA TEMPORALE
Il presente documento TSA Disclosure Statement (di seguito anche solo “Informativa” o “Dichiarazione di Trasparenza”), redatto ai sensi della normativa ETSI EN 319 421-1 è parte dei termini e delle condizioni della CA Uanataca.
L’informativa, redatta in conformità all’Allegato B contenuto nella norma ETSI sopra richiamata, contiene le informazioni essenziali da conoscere in relazione al servizio di marcatura temporale del Prestatore di Servizi Fiduciari Uanataca S.A. unipersonale (di seguito anche solo “Uanataca”).
Per tutti i termini e le definizioni utilizzate all’interno del presente documento è possibile fare riferimento al Manuale Operativo di Uanataca ovvero alle definizioni fornite dalla normativa applicabile in materia
1.1. Accordo completo
Il presente documento fornisce dichiarazioni di alto livello in relazione al servizio di marcatura temporale elettronica qualificata di Uanataca S.A. Non sostituisce né abroga nessuna altra politica di Uanataca reperibile sul sito xxxxx://xxx.xxxxxxxx.xxx/xx/, bensì le integra e le completa.
1.2. Informazioni di contatto
1.2.1. Organizzazione e relativi contatti
UANATACA S.A. (SOCIEDAD ANONIMA UNIPERSONAL) XXXXX XXXXX XX XXX XXXX 00-00 - XXXXXXXXXX
Xxx Xxxxxxxxxxx x. 000, 00000 - Xxxxxx
VAT NUMBER (ES): A66721499 PARTITA IVA (IT): 00000000000
PHONE: x00 000 000 000, x00 000 0000000
Sito Web: xxxxx://xxx.xxxxxxxx.xxx/xx/
1.2.2. Contatto
Per qualsiasi quesito rivolgersi a:
UANATACA S.A.
PHONE: x00 000 000 000, x00 000 0000000
1.2.3. Contatto per le procedure di revoca
Per le richieste di revoca è necessario contattare Uanataca ai seguenti recapiti:
UANATACA S.A.
PHONE: x00 000 000 000, x00 000 0000000
1.3. Tipologie e utilizzo delle marche temporali elettroniche
Il servizio di marcatura temporale elettronica qualificato segue le indicazioni del PDS del certificato della TSU con l’OID 1.3.6.1.4.1.47286.10.2.1.
Il servizio erogato da Uanataca è conforme alla politica Best Practices Policy for Time-Stamp (BTSP) definita nella norma ETSI EN 319 421 ed identificata dall’OID 0.4.0.2023.1.1.
0.4.0.2023.1.1.
itu-t(0) identified-organization(4) etsi(0) time-stamp-policy(2023)
policy-identifiers(1) baseline-ts-policy (1)
Le marche temporali elettroniche dichiarate come qualificate rispettano le indicazioni del Regolamento UE 910/2014 (di seguito anche solo “Regolamento eIDAS” e il certificato della TSU è emesso in conformità alla politica dichiarata nell’ETSI EN 319 411-2.
I clienti che ricevono tale servizio di marcatura elettronica sono obbligati a ottemperare a quanto disposto dalla vigente normativa, a rispettare quanto indicato nei contratti firmati con la presente Autorità, a verificare l’esattezza della firma della marca temporale, la validità del certificato della TSU.
1.3.1. Contenuto della marca temporale
Ciascuna marca temporale emessa da UANATACA S.A. contiene tutta le informazioni richieste dalla Normativa vigente, come:
1. il numero di serie della marca temporale;
2. l’algoritmo di firma della marca temporale. L’algoritmo utilizzato è l’RSA (SHA256rsa 1.2.840.113549.1.1.11);
3. L’identificativo (codice d’identificazione) del certificato relativo alla Chiave pubblica della TSU;
4. la data e l’ora della marca temporale;
5. L’accuratezza della fonte temporale (il valore massimo consentito è di un secondo);
6. L’identificativo dell’algoritmo di hash utilizzato per generare il fingerprint (la traccia informatica). In tal caso l’algoritmo utilizzato è SHA-256 (OID: 2.16.840.1.101.3.4.2.1.);
7. Il valore del fingerprint.
1.3.2. Verifica dei certificati
La verifica dello stato dei certificati si realizza tramite:
- Acceso al servizio OCSP: xxxx://xxxx0.xxxxxxxx.xxx/xxxxxx/xxx/xxxx/
- Download della CRL: xxxx://xxx0.xxxxxxxx.xxx/xxxxxx/xxx/xxx/xxxxxxxx_xx_XXX.xxx
1.3.3. Sottoscrittori
Il sottoscrittore è la persona fisica o giuridica che ha stipulato i servizi di marcatura temporale elettronica con Uanataca S.A.
1.3.4. Entità erogante
I servizi di marcatura temporale elettronica qualificata sono erogati da Uanataca S.A., identificata mediante i dati indicati in precedenza.
1.3.5. Comunità degli utenti e applicabilità
Gli utenti del servizio saranno principalmente le applicazioni e/o i sistemi dei clienti (persone fisiche o giuridiche) che hanno contrattato i servizi di Uanataca S.A.
I servizi di marcatura temporale elettronica forniti dalla TSU di Uanataca S.A. si considerano come servizi fiduciari forniti da Uanataca S.A. in ottemperanza a quanto indicato dal supervisore nazionale e nel rispetto della vigente normativa.
1.4. Limiti di utilizzo del certificato
L’utilizzo delle marche temporali elettroniche è limitato alle applicazioni e/o ai sistemi dei clienti (persone fisiche o giuridiche) che hanno stipulato con Uanataca S.A. tali servizi.
Non saranno utilizzate marche temporali elettroniche per finalità distinte da quelle previste dal contratto tra Uanataca e i soggetti contraenti.
1.4.1. Accuratezza dell’orario
Il servizio di Marcatura temporale qualificata di UANATACA S.A. si basa sull’uso del protocollo TSP su HTTP, definito nella norma RFC 3161 “Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)”.
UANATACA S.A. dispone di una fonte attendibile di tempo di alta qualità che consente un livello di affidabilità di STRATUM 3, via NTP, con CSUC (xxxxx://xxx.xxxx.xxx/xx/xxxxxxxxxxxxxx/xxxxxxxxx-xx-xxx/xxxxxxxx-xx-xxxxxx).
L’accuratezza del servizio di Marcatura temporale qualificata di UANATACA S.A. è di un secondo rispetto all’UTC.
1.5. Obblighi dei sottoscrittori
Il sottoscrittore si impegna a:
• realizzare le richieste di marche temporali elettroniche qualificate in accordo con la procedura e gli strumenti forniti da Uanataca S.A., in conformità con quanto stabilito nella CPS-Manuale Operativo di Uanataca S.A.;
• seguire le indicazioni specificate nel PDS del certificato della TSU di UANATACA S.A.;
• verificare le firme elettroniche contenute nelle marche temporali elettroniche, compresa la validità del certificato utilizzato;
• utilizzare le marche temporali elettroniche entro i limiti e per i fini descritti in questo documento.
1.6. Obblighi di verifica delle terze parti interessate
1.6.1. Decisione informata
Le terze parti interessate (Relying Parties) si impegnano a rispettare i requisiti tecnici, operativi e di sicurezza descritti nel Manuale Operativo/CP-CPS di Uanataca S.A.
1.6.2. Requisiti di verifica della firma elettronica corrispondente alla marca temporale elettronica qualificata
La verifica verrà eseguita normalmente in forma automatica dal software del verificatore e, in ogni caso, in conformità con questo documento.
1.6.3. Approvazione di una firma elettronica non verificata corrispondente a una marca temporale elettronica qualificata
Se le parti interessate validano una firma elettronica relativa ad una marca temporale elettronica non verificata, si assumeranno tutti i rischi derivanti da tale azione.
1.6.4. Effetto della verifica
In virtù della corretta verifica dei certificati di marca temporale elettronica, in conformità con questa informativa (PDS), le terze parti potranno confidare nelle informazioni fornite
1.6.5. Uso corretto e attività proibite
Le terze parti si impegnano a non utilizzare alcun tipo di informazione sullo stato delle marche temporali elettroniche qualificate o di nessun altro genere che sia stata fornita da Uanataca se non nell’ambito della validazione della marcatura temporale.
Le parti interessate si impegnano a non interferire o realizzare reverse engineering dell’implementazione tecnica dei servizi pubblici di certificazione di Uanataca S.A. senza previa autorizzazione scritta.
I servizi di marcatura temporale elettronica qualificata erogati da Uanataca S.A. non sono stati progettati né permettono l’utilizzo o la rivendita come apparecchiature di controllo per situazioni pericolose non autorizzate o per usi che richiedano azioni di sicurezza, quali le operazioni di installazioni nucleari, sistemi di navigazione, comunicazione aerea o sistemi di controllo degli armamenti, ove un errore possa causare la morte, danni fisici o danni ambientali gravi.
1.7. Obblighi di UANATACA S.A.
In relazione alla fornitura del servizio di marcatura temporale elettronica qualificata Uanataca
S.A. si impegna a:
a) erogare, cedere e amministrare le marche qualificate in accordo con le istruzioni fornite dal sottoscrittore nei casi e per i motivi descritti nel Manuale Operativo/CP-CPS di Uanataca S.A.;
b) eseguire i servizi con i mezzi tecnici e i materiali adeguati e con personale che rispetti le condizioni di qualifica ed esperienza stabilite nel Manuale Operativo/CP-CPS;
c) rispettare i livelli di qualità del servizio, in conformità con quanto stabilito nella DPC relativamente agli aspetti tecnici, operativi e di sicurezza.
1.8. Garanzia e limitazione di responsabilità
1.8.1. Garanzia di UANATACA S.A. per i servizi di marcatura temporale elettronica qualificata
Uanataca garantisce al sottoscrittore che le marche temporali rispettino tutti i requisiti stabiliti nel Manuale Operativo/CP-CPS.
Uanataca garantisce che l’informazione contenuta o incorporata nella marca temporale è corretta.
Inoltre, Uanataca garantisce al sottoscrittore e alla parte terza della marca temporale la responsabilità di Ente di certificazione con i limiti che sono stabiliti.
1.8.2. Esclusione della garanzia
Fuori dai casi espressamente menzionati, UANATACA S.A. non potrà essere ritenuta responsabile, a qualsiasi titolo, nei confronti degli utenti.
2. Accordi applicabili
2.1. Accordi applicabili
Gli accordi applicabili alla marca temporale qualificata elettronica sono i seguenti:
− contratto di servizio di certificazione che regola la relazione tra Uanataca S.A. e l’impresa che sottoscrive le marche temporali elettroniche qualificate;
− condizioni generali del servizio incluse nell’informativa (PDS) del certificato della TSU;
− le condizioni incorporate nella presente informativa delle marche temporali elettroniche;
− manuale operativo (CPS) che regola l’emissione e l’utilizzo dei certificati di marca temporale elettronica.
2.1.1. Manuale Operativo - Certification practice statement (CPS)
I servizi di marcatura temporale elettronica qualificata di UANATACA S.A. sono regolati tecnicamente e operativamente dal Manuale Operativo di Uanataca S.A., dagli aggiornamenti successivi, così come dalla documentazione complementare.
Il Manuale Operativo e la documentazione operativa sono modificati periodicamente e possono essere consultati sul sito Internet xxxxx://xxx.xxxxxxxx.xxx/xx/
2.2. Politica sulla Privacy
Uanataca, con riferimento al trattamento dei dati personali, si conforma alla normativa vigente in materia, sia nazionale che comunitaria, con particolare riferimento al D.lgs. 196/03, e s.m.i., ed il Regolamento (UE) 2016/679 (di seguito anche solo “GDPR”).
Uanataca non può divulgare né può essere obbligata a divulgare informazioni confidenziali a meno di una richiesta specifica proveniente da:
a) la persona rispetto alla quale Uanataca S.A. ha l’obbligo di mantenere le informazioni confidenziali, o
b) un mandato giudiziario, amministrativo o di qualsiasi altro genere previsto dalla legislazione vigente.
Tuttavia, il sottoscrittore accetta che una determinata informazione personale o di altro tipo, fornita nella richiesta di certificati, sia inclusa nei certificati e nel meccanismo di verifica dello
stato dei certificati, e che l’informazione menzionata non abbia carattere confidenziale per legge.
Uanataca S.A., in conformità a quanto disposto dall’art. 13 del GDPR, ha predisposto ed adottato una precisa Informativa sulla Privacy relativamente al processo di registrazione, alla confidenzialità della registrazione, alla protezione dell’accesso alle informazioni personali e al consenso dell’utente.
L’Informativa in formato esteso è disponibile all’interno del Manuale Operativo di Uanataca. Infine, si informa l’utente che la documentazione giustificativa di approvazione della richiesta deve essere conservata e debitamente registrata e con garanzie di sicurezza e integrità per 20 anni dalla scadenza del certificato, compreso il caso di perdita anticipata di validità per revoca.
2.3. Politica di rimborso
Per la Politica di rimborso è necessario fare riferimento alla relativa sezione all’interno del Manuale Operativo di Uanataca.
2.4. Normativa applicabile, foro competente e regime dei reclami e dispute
Le relazioni con Uanataca S.A. sono regolate dalla normativa in materia di servizi fiduciari vigente, così come dalla legislazione civile e commerciale nei casi in cui applicabile.
In caso di disaccordo tra le parti, queste tenteranno la conciliazione amichevole. A tal fine le parti dovranno indirizzare una comunicazione a Uanataca S.A. tramite qualsivoglia mezzo che conservi traccia dell’indirizzo del contatto indicato nel punto 1 di questo documento.
Per il Foro competente si rinvia al punto 9.6.9 del Manuale Operativo di Uanataca che qui abbia a intendersi come integralmente richiamato e trascritto.
Un approfondimento delle informazioni relative alla risoluzione delle dispute è disponibile all’indirizzo xxxxx://xxx.xxxxxxxx.xxx/xx/.
2.5. Accreditamento e audit di conformità
Uanataca S.A. è inclusa nella lista dei Prestatori di Servizi Fiduciari (TSL) italiana.
Parimenti, è registrata come prestatore di servizi fiduciari elettronici qualificati presso l’organismo Nazionale di Accreditamento e Vigilanza, AgID.
In accordo con quanto indicato nel Regolamento UE 910/2014, UANATACA S.A. realizzerà audit di conformità ogni 2 anni.
2.6. Disposizioni e relativa sopravvivenza, accordo integrale e notifiche
Le clausole della presente informativa sono indipendenti tra di loro, ragione per la quale se qualsivoglia clausola è considerata invalida o inapplicabile le restanti clausole della PDS continueranno a essere applicabili, eccetto che le parti abbiano pattuito diversamente.
I requisiti contenuti nelle sezioni 9.6.1 (Obblighi e responsabilità), 8 (Audit di conformità) e
9.3 (Confidenzialità) del Manuale Operativo di Uanataca S.A. resteranno in vigore dopo la cessazione del servizio.
Questo testo contiene la volontà completa e tutti gli accordi tra le parti.
Le parti si informano dei fatti reciprocamente tramite l’invio di mail ai seguenti indirizzi:
• xxxx.xx@xxxxxxxx.xxx da parte di UANATACA S.A.;
• l’indirizzo mail indicato dal firmatario nel contratto con UANATACA S.A.