Sicherheits- und Zertifizierungskonzept

§ 12

(1) Das Sicherheits- und Zertifizierungskonzept des ZDA hat insbesondere folgende Angaben zu enthalten:

1. 1. Namen des ZDA,
2. 2. Adresse und Staat der Niederlassung des ZDA,
3. 3. Art, Anwendungsbereich und Erbringung der bereitgestellten Signatur- und Zertifizierungsdienste,
4. 4. Verfahren zur Antragstellung,
5. 5. gegebenenfalls Art und Weise der Aufnahme von Pseudonymen sowie von Angaben über eine Vertretungsmacht oder sonstige rechtlich erhebliche Eigenschaften des Signators in das Zertifikat,
6. 6. Geschäftszeiten,
7. 7. Erzeugung der Signaturerstellungsdaten des ZDA,
8. 8. Format der Signaturerstellungsdaten des ZDA,
9. 9. Signaturprüfdaten, gegebenenfalls das Zertifikat des ZDA,
10. 10. Erzeugung der Signaturerstellungsdaten der Signatoren,
11. 11. Format der Signaturerstellungsdaten der Signatoren,
12. 12. eingesetzte Verfahren zur Erstellung der bereitgestellten Signaturen (Hashverfahren und Verfahren zur Verschlüsselung des Hashwerts),
13. 13. Liste der eingesetzten, bereitgestellten und empfohlenen Signaturprodukte,
14. 14. Sicherheit der Autorisierungscodes,
15. 15. gängige Formate, die die Voraussetzungen des § 4 Abs. 1 erfüllen, sowie gegebenenfalls Methoden zur Verhinderung dynamischer Veränderungen,
16. 16. Formate und Gültigkeitsdauer der Zertifikate,
17. 17. technische Normen, Zugangsmodalitäten sowie Aktualisierungs- und Verfügbarkeitszeitraum für die bereitgestellten Verzeichnis- und Widerrufsdienste einschließlich des Zeitraums der Sperre,
18. 18. gegebenenfalls Verfügbarkeitszeitraum bereitgestellter Zeitstempeldienste,
19. 19. nachvollziehbare und allgemein verständliche Methode zur sicheren Signaturprüfung,
20. 20. Format der Dokumentation von Sicherheitsvorkehrungen, Störfällen und besonderen Betriebssituationen,
21. 21. Schutz der technischen Komponenten vor unbefugtem Zugriff,
22. 22. Schutz der Einrichtungen des ZDA vor unbefugtem Zutritt.

(2) Das Sicherheits- und Zertifizierungskonzept für einen qualifizierten Zeitstempeldienst hat insbesondere folgende Angaben zu enthalten:

1. 1. Namen des ZDA,
2. 2. Adresse und Staat der Niederlassung des ZDA,
3. 3. Art, Anwendungsbereich und Erbringung der bereitgestellten Zeitstempeldienste,
4. 4. Signaturprüfdaten des Zeitstempeldienstes,
5. 5. eingesetzte Verfahren zur Erstellung der bereitgestellten Zeitstempel,
6. 6. Formate des Zeitstempels,
7. 7. Verfügbarkeitszeitraum der Zeitstempeldienste,
8. 8. nachvollziehbare und allgemein verständliche Methode zur Prüfung der Zeitstempel,
9. 9. Form der Dokumentation von Sicherheitsvorkehrungen, Störfällen und besonderen Betriebssituationen,
10. 10. Schutz der technischen Komponenten vor unbefugten Veränderungen.

(3) Das Sicherheits- und Zertifizierungskonzept ist der Aufsichtsstelle in elektronischer Form in einem gängigen Format vorzulegen. Es muss mit der elektronischen Signatur (§ 5 Abs. 3 SigG) des ZDA versehen sein. Zusätzlich hat der ZDA das Sicherheits- und Zertifizierungskonzept sowie eine klar und allgemein verständlich formulierte Zusammenfassung des Konzepts in einem gängigen Format bereit zu halten.