Skip to main content

Themes

Audit & Assurance
Governance Risk & Compliance

Productcatalogus

Certificering van de elektronische handtekening?

Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.

Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.

Inleiding

In deze bijdrage wordt een specifiek onderzoek belicht, namelijk het certificeren van een organisatie die digitale certificaten uitgeeft en beheert en waarvan het beheer- en uitgifteproces wordt getoetst aan de eisen die staan verwoord in de Europese richtlijn elektronische handtekening en de hiervan afgeleide Nederlandse Wet elektronische handtekening.

Op het internet kunnen partijen zich anders voordoen dan ze in werkelijkheid zijn. Met behulp van een digitaal certificaat kan een gedeelte van deze problematiek worden verholpen. Door middel van een digitaal certificaat kan zekerheid worden verkregen omtrent de identiteit van een organisatie of natuurlijk persoon. Een organisatie die digitale certificaten uitgeeft waarmee een elektronische handtekening kan worden gezet, wordt ook wel een Certification Service Provider (CSP) genoemd. Organisaties die dergelijke digitale certificaten uitgeven, kunnen zich laten certificeren. Hierdoor genereren ze vertrouwen naar eventuele afnemers van digitale certificaten en kunnen ze zich op een eenvoudige wijze laten registreren bij de Nederlandse overheid (OPTA) als een organisatie die digitale certificaten conform de Wet elektronische handtekening uitgeeft, genereert en beheert. Indien zij niet over een dergelijk conformiteitscertificaat beschikken wordt het registratieproces bij de OPTA verzwaard door aanvullende onderzoeken en een extra geldelijke bijdrage.

ECP.nl, de organisatie die is opgericht om elektronische handel binnen Nederland te stimuleren, heeft een certificeringsschema (TTP.nl-schema) opgesteld. Dit certificeringsschema hanteert de Europese richtlijn elektronische handtekening[Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen.] als grondslag en het ETSI TS 101456[Het ETSI TS 101456-normenkader is opgesteld door het European Telecommunication Standards Institute (ETSI). De laatste versie is van april 2002. TS staat voor technical specification.]-normenkader als basisnormenkader. Een TTP.nl-certificeringsonderzoek wordt zowel nationaal als internationaal (binnen Europa) uitgevoerd. KPMG heeft in 2002 het allereerste TTP.nl-certificeringsonderzoek in Nederland uitgevoerd.

Betrokken partijen

In het ETSI TS 101456-normenkader wordt een onderscheid gemaakt tussen een digitaal certificaat waarbij gebruik wordt gemaakt van een zogenaamd Secure Signature Creation Device (SSCD) en een digitaal certificaat waarbij geen gebruik van een SSCD wordt gemaakt. Indien er gebruik wordt gemaakt van een SSCD, staan de digitale certificaten op een smartcard.

De vereisten in ETSI TS 101456 zijn geschreven voor een aantal specifieke diensten, en wel: registration service, certificate generation service, dissemination service, revocation management service, revocation status service en subject device provision service. Functies als time-stamping, attribute certificaten en vertrouwelijkheidsdiensten liggen buiten de scope van het document. Dit betekent dat deze onderdelen tijdens een certificatieonderzoek niet worden beoordeeld.

Bij een TTP.nl-certificering zijn drie partijen betrokken, namelijk:

  • Certification Service Provider (CSP);
  • certificerende instelling;
  • gebruiker.

De Certification Service Provider

De Certification Service Provider is opdrachtgever van het onderzoek. Deze organisatie heeft een Public Key Infrastructure geïmplementeerd waarmee de digitale certificaten worden gegenereerd en beheerd. Randvoorwaarde voor de uitvoering van het onderzoek is dat de CSP een Certificate Policy en een Certification Practice Statement heeft opgesteld. Dit zijn documenten waarin de CSP beschrijft aan welke eisen zijn diensten voldoen en welke maatregelen hij hiervoor heeft geïmplementeerd. Daarnaast moet de CSP een verklaring van toepasselijkheid invullen. In deze verklaring wordt door de CSP aangegeven voor welke certification service hij wil worden gecertificeerd.

De certificerende instelling

De organisatie die het certificeringsonderzoek gaat uitvoeren, moet geaccrediteerd zijn door de Raad voor Accreditatie. Accreditatie vindt plaats tegen de EN 45011-norm (productcertificering). Na accreditatie heeft de certificerende instelling de mogelijkheid om een conformiteitscertificaat uit te reiken aan een CSP. Accreditatievoorwaarden zijn onder andere het hebben van kennis over het normenkader ETSI TS 101456 en het hebben van ervaring met het beoordelen van managementsystemen. Daarnaast moet de certificerende instelling IT-auditors in dienst hebben die ten minste vier jaar praktijkervaring hebben op het auditgebied, en ruime kennis en ervaring hebben met het normenkader ETSI TS 101456.

De gebruiker

Afnemers van het conformiteitscertificaat zijn onder andere overheidsorganisaties zoals ministeries, zelfstandige bestuursorganen (ZBO’s), provincies en lokale gemeenten. Om digitale certificaten te hanteren als elektronische handtekening binnen de overheid heeft de overheid als randvoorwaarde gesteld dat deze van een gecertificeerde en bij de OPTA geregistreerde CSP afkomstig moeten zijn. Daarnaast steunen particulieren, middenstanders en bedrijven op het conformiteitscertificaat. Het verschaft vertrouwen in de kwaliteit van het digitale certificaat en geeft zekerheid dat indien zich een dispuut voordoet, het gebruik van een digitaal certificaat afkomstig van een gecertificeerde CSP niet in een rechtbank mag worden geweigerd en dezelfde rechtskracht heeft als een normale handtekening.

Onderzoek

De stappen die in een TTP.nl-certificeringsonderzoek worden doorlopen, zijn:

  • Uitvoeren van een proefbeoordeling. De proefbeoordeling is optioneel en dus niet verplicht. Door middel van de proefaudit kan worden bepaald of de CSP klaar is voor certificatie. De proefaudit staat los van het certificatieonderzoek. Indien er sprake is van een negatief resultaat heeft dit op zichzelf geen gevolgen voor het formele certificatietraject.
  • Documentatieonderzoek. De certificerende instelling toetst of de documentatie voldoet aan de eisen die staan vermeld in ETSI TS 101456. Indien zich een materiële afwijking van de norm voordoet (een zogenaamde non-conformiteit), dient de CSP deze op te lossen voordat het implementatieonderzoek kan plaatsvinden.
  • Implementatieonderzoek. Het implementatieonderzoek dient te worden uitgevoerd volgens de eisen zoals verwoord in ISO 10011 ‘guidelines for auditing quality systems’ en beslaat het grootste deel van de activiteiten. De CSP toont in deze fase aan dat de norm, zoals beschreven in het ETSI TS 101456, in voldoende mate is geïmplementeerd.
  • Rapportage en uitreiking van het certificaat. De certificerende instelling rondt de eindrapportage af, en gaat indien geen non-conformiteiten zijn gesignaleerd, over tot uitreiking van het certificaat.
  • Uitvoeren van controleaudits. Voor de komende drie jaar voert de certificerende instelling controleaudits uit om te toetsen in hoeverre de CSP-dienstverlening voldoet aan de eisen zoals verwoord in het document ETSI TS 101456. Indien zich non-conformiteiten voordoen zal de certificerende instelling het uitgereikte certificaat intrekken.

Uitkomsten

Resultaat van een TTP.nl-certificering is een conformiteitscertificaat. Het conformiteitscertificaat biedt de gebruiker de zekerheid dat de organisatorische structuur, verantwoordelijkheden, procedures, processen en voorzieningen voor het ten uitvoer brengen van de uitgifte van gekwalificeerde certificaten voldoet aan ETSI TS 101456. Daarnaast biedt het de gebruiker de zekerheid dat een elektronische handtekening die geplaatst is met een digitaal certificaat afkomstig van een CSP die gecertificeerd is tegen ETSI TS 101456, overeenkomstig is aan de Wet elektronische handtekening en hierdoor een gelijke rechtskracht bezit als de gewone handtekening.