Базові вимоги до випуску і управлінню публічно довірених сертифікатів DV и OV

14. Сотрудники и Третьи лица

14.1 Надежность и компетентность

14.1.1 Идентификация и фоновая проверка

До участия любого человека в процессе управления сертификатом, либо в качестве работника, доверенного лица или независимым подрядчиком ЦС, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) проверить личность и надежность такого человека.

14.1.2 Подготовка и уровень квалификации

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) предоставить профессиональное обучение, которое охватывает базовые знания Инфраструктуры открытого ключа, аутентификацию, проверку полисов и процессов (включая Полис сертификата ЦС и/или Положение о рекомендованной практике), распространенные угрозы для процесса проверки информации (включая фишинг и другие тактики социальной инженерии), и эти Требования.

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) вести учет такой подготовки и гарантировать, что сотрудники, на которых возложено проведение проверок информации, владеют уровнем квалификации, что позволяет им хорошо исполнять свои обязанности.

Специалисты, которые выполняют проверку информации, занимающиеся выдачей сертификатов SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) поддерживать уровень квалификации в соответствии с подготовкой ЦС и выполнением программ.

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) документально подтвердить, что каждый Специалист, который выполняет проверку информации и обязанности, предусмотренные этими требованиями, обладает навыками, необходимыми для выполнения задания, перед тем как разрешить ему выполнение самого задания.

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) требовать, чтоб все Специалисты, которые выполняют проверку информации и обязанности, предусмотренные этими требованиями, сдали экзамен, предоставленный ЦС на проверку информации в соответствии с изложенными требованиями.

14.2 Делегирование функций

14.2.1 Общее

ЦС MAY (ВОЗМОЖНО, МОЖЕТ) делегировать выполнение всех, или любой части, Раздела 11 этих Требований Третьей независимой стороне, при условии, что процесс в целом выполняет все требования Раздела 11.

Перед тем, как ЦС уполномочит Третью независимую сторону выполнять делегирование функций, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) с помощью договора требовать от Третьей независимой стороны:

• 1) Соответствовать квалификационным требованиям Раздела 14.1, приступая к делегированию функций;
• 2) Сохранять документацию в соответствии с Разделом 15.3.2;
• 3) Действовать в соответствии с условиями этих Требований, применимых к делегированию функций; и
• 4) Соблюдать (a) Полис Сертификата ЦС/Положение о рекомендованной практике или (b) то, чтобы рекомендованная практика Третьей независимой стороны была проверена ЦС и соответствовала этим Требованиям.

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) убедиться в том, что персонал Третьей независимой стороны, который участвует в выдаче Сертификата, соответствует необходимому обучению и квалификации Раздела 14 , хранению документа и регистрации событий Раздела 15.

Если Третья независимая сторона выполняет любые обязательства ЦС в соответствии с Разделом 11.5 (Запросы с повышенным риском), ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) убедиться в том, что процесс, который использует Третья независимая сторона для выявления и дальнейшей проверки Запросов сертификата высокого риска, обеспечивает по меньшей мере, такой же уровень гарантий, как и собственные процессы ЦС

14.2.2 Соответствие обязательства

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) проводить внутренний аудит соответствия каждой Третьей независимой стороны с этими Требованиями на ежегодной основе.

14.2.3 Распределение ответственности

Для делегированных заданий, ЦС и любая Третья независимая сторона MAY (ВОЗМОЖНО, МОЖЕТ) распределять ответственность между собой с помощью договора, если принято такое решение, но ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) нести полную ответственность за действия всех сторон в соответствии с этими Требованиями, как будто задания не были делегированы.

14.2.4 Enterprise RAs

ЦС MAY (ВОЗМОЖНО, МОЖЕТ) назначить Enterprise RA для проверки запросов на сертификаты от своей собственной организации Enterprise RA.

ЦС SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) принимать запросы на сертификаты, уполномоченные Enterprise RA, пока не будут удовлетворены следующие требования:

• 1. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтвердить, что Полное конкретное доменное имя (имена) находятся в пределах проверенной Доменной зоны Enterprise RA (смотрите Раздел 7.1.2 абзац 1).
• 2. Если запрос на сертификат включает имя Субъекта сертификации, отличное от Полного конкретного Доменного имени, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтвердить то, что имя принадлежит делегированному предприятию, или то, что делегированное предприятие является агентом названного Субъекта. Например, ЦС SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) выдавать Сертификат. Который содержит имя Субъекта сертификации “XYZ Co.” со ссылкой Enterprise RA на “ABC Co.”, если только две компании являются аффилированными (смотрите Раздел 11.1) или “ABC Co.” является агентом “XYZ Co”. Это требование применяется независимо от того, входит ли сопроводительное требуемое Полное конкретное имя домена Субьекта сертификации в Доменную зону ABC Co.’s Зарегистрированного доменного имени..

ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) вводить эти ограничения как договорное требование в отношении к Enterprise RA и контролировать их соблюдение Enterprise RA.