News | SwissSign
Eine Datensicherheitsspezialistin der Schweizerischen Post

Hauptbereich

11.08.2017

11.08.2017 - Neues Framework an Vertragsdokumenten

Die Turbulenzen im weltweiten CA Markt haben in den letzten Monaten gezeigt, wie wichtig die Einhaltung der Regularien und Vorschriften sind und wie wichtig es ist, dass alle Parteien bei der Beantragung, Genehmigung, Überprüfung, Einsatz und Aufbewahrung höchste Sorgfalt walten lassen. Nur dadurch kann gewährleistet werden, dass eine Zertifizierungsstelle Ihr Vertrauen behält und die getätigten Investitionen der Kunden gewahrt bleiben.

Wir haben unsere AGBs, Teilnehmerbedingungen Zertifikatsdienstleistungen (früher End User Agreements genannt), Relying Party Agreements auch aufgrund der neuen ETSI Vorschriften, Gesetze (ZertES und eIDAS) und Regularien angepasst sowie noch fehlende informative Dokumente nach der neuen ETSI Vorschrift (PKI Disclosure Agreement, etc.) ergänzt, um damit auch dem neuesten Stand der Anforderungen an einer CA zu entsprechen. Durch das rasche Anwachsen an parallelen neuen Dienstleistungen sind auch Redundanzen in den Dokumenten entstanden, die beseitigt werden mussten.

Für den Kunden ergibt sich insbesondere der Vorteil, dass bisher getrennte kommerzielle AGBs (Signaturservice, Zeitstempelservice, Zertifikatsdienstleistungen, Webshop) in eine einzige AGB zusammengefasst wurden und Redundanzen und Mehrdeutigkeiten vermindert bzw. behoben werden.

Die kommerzielle AGB für unsere Endkunden und Partner befindet sich unter:

https://www.swisssign.com/media/wysiwyg/PDF-ALL/01_GTC/CurrentGTC/GTC_DE.pdf

Sofern unsere Kunden nicht einzeln kontaktiert werden, bleiben die bestehenden kommerziellen AGBs bis zu einer Vertrags- oder Vertragsmengenänderung gültig. Die aktuellen Teilnehmerbedingungen, welche den Umgang mit den Zertifikaten regeln, müssen – wie bisher - bei jeder Zertifikatsausstellung akzeptiert werden. Sie leiten sich von den Regularien der ETSI und des CA Browser Forums ab und unterliegen der Aufsicht unserer Auditoren. Die neuen Teilnehmerbedingungen befinden sich in unserem Repository:

 http://repository.swisssign.com/SubscriberAgreement_DE.pdf

Die Teilnehmerbedingungen für Zertifikatsdienstleistungen wurden komplett überarbeitet. Redundante Passagen wurden entfernt, das Wording der Wortwahl der ETSI Vorschriften angepasst. Darüber hinaus wurden die Bedingungen für die Platinumzertifikate umfassend im Hinblick auf das neue ZertES Gesetz in der Schweiz und der eIDAS Verordnung in der EU überarbeitet.

Der Begriff des Zertifikatsinhabers wurde neu mit den ETSI Begriffen des Teilnehmers und Zertifikatinhabers ersetzt. Angaben über Zeitstempeldienste und Signaturservice wurden entfernt und in ein neues Dokument für die Teilnehmerbedingungen für Zeitstempeldienstleistungen und Signaturservicedienstleistungen überführt. Haftungs- und Datenschutzregelungen wurden aktualisiert und an die Haftungs- und Datenschutzregelungen in den anderen Dokumenten angepasst.

Die Neubestellung einer Managed PKI erfolgt durch Bestellung und Ausfüllen einer „Annahmeerklärung zur Delegation der Registrierungsstellentätigkeit“ welches das bisherige umfangreiche „Managed PKI Setup Agreement“ ersetzt. Es besteht im Wesentlichen nur noch aus den vom Kunden einzugebenden Daten und der Annahmeerklärung zu den „Richtlinien zur Delegation der Registrierungsstellentätigkeit“, die die Beschreibung der Aufgaben und Pflichten einer Registrierungsstelle zusammenfasst. Dabei wurde auch die Benutzerführung in allen Teilen überarbeitet, um Unklarheiten beim Ankreuzen zu minimieren. Inhaltlich unterscheiden sich die neuen beiden Dokumente vom Managed PKI Setup Agreement nur unwesentlich, hingegen unterliegt jetzt die „Richtlinie zur Delegation der Registrierungsstellentätigkeit“ der Kontrolle unserer externen Auditoren. Damit ist es – wie in der Vergangenheit auch – vertraglich nicht möglich, individuell von den Compliancevorschriften abzuweichen, denen SwissSign unterstellt ist. Die Richtlinie findet sich hier:

http://repository.swisssign.com/RA_Delegation_DE.pdf 

Die Zustimmungs- und Zertifikatsnutzungserklärung als leicht veränderte Kopie des Managed PKI Setup Agreements entfällt. Stattdessen hat auch eine aufgeschaltete dritte Organisation eine eigene Annahmeerklärung zu den „Richtlinien zur Delegation der Registrierungsstellentätigkeit“ zu unterzeichnen. Es wird also das gleiche Formular genommen. Auch durch den Einsatz eines Handlungsbevollmächtigten einer Drittorganisation ist jede Organisation für sich verantwortlich zur ordnungsgemässen Durchführung einer Registrierungsstellentätigkeit, auch wenn der Zugangsverantwortliche einer anderen Organisation zugeordnet ist.

Bestehende Managed PKI Vereinbarungen werden nicht ersetzt, die neuen Formulare oben werden nur bei Neuabschlüssen relevant.

Insgesamt hoffen wir durch diese Massnahmen in dem regulatorisch komplexen Umfeld der Zertifikate für unsere Kunden Vereinfachungen erreicht zu haben und unsere Vertrauensstellung am Markt gefestigt zu haben.