Classe A – Certificati per le autorità (persone giuridiche)

Contenuto del certificato

Nel certificato, l’autorità titolare è descritta con un «Distinguished Name» secondo lo standard X.509. Nessuna informazione sul richiedente viene memorizzata al di fuori della Swiss Government PKI per il certificato regolamentato per le autorità. Il certificato contiene lʼIDI e i nomi ufficiali dell’autorità con gli attributi corrispondenti «O=» e «OI=».

«Distinguished Name» del certificato è definito secondo le seguenti regole:

• C   = codice del Paese (CH o LI) secondo lo standard ISO 3166-1. Indica il Paese dell’autorità designata con il Relative Distinguished Name (RDN) «O».
• O   = la O deve corrispondere al nome nel registro IDI (controllato dal CSP, al massimo 64 caratteri, https://www.uid.admin.ch).
• CN      = nome comune dell’unità amministrativa. Il nome non deve essere identico a quello registrato (designazione secondo il registro IDI).
• OI = NTRCH-CHE-nnn.nnn.nnn (= numero IDI delle autorità di rilascio secondo il registro IDI), come richiesto dalla FiEle.
• OU_1-2 = designazione più dettagliata dell’unità organizzativa secondo l’annuario federale (dipartimento, divisione ecc.) assegnata al certificato. Possono essere indicati due campi OU.
• OU₃ = identificazione delle autorità: 
  • L’entità UID con i seguenti codici per la forma giuridica sono considerate un'autorità: 0117, tutti a partire da 02 (es. GE - 0220 – Abbreviazione dell’ufficio o designazione dell’autorità federale (ufficio federale))
• L = designazione del Comune in cui ha sede l’autorità
• SP = designazione del Cantone in cui ha sede l’autorità
• E-Mail = indirizzo postale che, nel caso di una verifica automatizzata di un documento sigillato elettronicamente o di un eventuale rapporto di verifica, viene elencato per indicare il servizio d’informazione per il tipo di documento firmato.

Presentazione della richiesta

Il requisito fondamentale per ottenere un certificato regolamentato per le autorità è che l’organizzazione disponga di un’unità IDI ai sensi dell’articolo 3 capoverso 1 lettera c della legge federale sul numero d’identificazione delle imprese (LIDI). Il richiedente deve essere autorizzato a firmare per la rispettiva unità IDI. L’autorizzazione deve essere comprovata da un estratto autenticato del registro di commercio o da una procura provvista di firma giuridicamente valida. Per il rilascio del certificato è necessario che il richiedente si presenti di persona.

I due moduli «Modulo di richiesta per il rilascio di un certificato regolamentato per le autorità» e «Procura per la richiesta di un certificato regolamentato per le autorità di classe A» sono firmati dal richiedente o dal conferente della procura con un certificato di firma elettronica e inviati alla SG-PKI tramite DWP.
Se sia il modulo di richiesta che la procura sono firmati con un certificato qualificato, il richiedente non deve presentarsi di persona.

Impiego del certificato

Per la stessa organizzazione (autorità) possono essere rilasciati più certificati. Le richieste possono essere presentate dalla stessa persona che rappresenta l’autorità.

• Un certificato autorità regolamentato viene creato sul server di firma della Swiss Government PKI.
• Per i certificati delle autorità basati su server, il richiedente può autorizzare altre persone tramite e-mail firmata (BIT ServicePortal) o fare revocare l'autorizzazione.
• Se il sigillo basato sul server viene utilizzato tramite un’applicazione specialistica mediante una connessione TLS, l’autorizzazione viene concessa attraverso tale applicazione.

Revoca

La revoca può essere richiesta direttamente alla Swiss Government PKI utilizzando il modulo di revoca (BIT-ServicePortal). La revoca sottostà alle stesse condizioni della richiesta e può essere chiesta direttamente dalla SG-PKI tramite il modulo apposito oppure dal richiedente stesso.

• Motivi di revoca?

  • La smartcard è stata rubata o è smarrita.
  • La smartcard è difettosa.
  • Entrambi i PIN/PUK per la smartcard sono stati persi o dimenticati.
  • Risoluzione del rapporto di lavoro.
  • I dati contenuti nel certificato sono cambiati (nome dell’autorità, indirizzo e-mail ecc.).
  • Vi è il sospetto che la chiave privata sia compromessa perché altre persone ne sono venute a conoscenza e hanno utilizzato un servizio (ad es. hanno firmato elettronicamente unʼe-mail).
  • Riorganizzazione.
  • La persona autorizzata non osserva le direttive vigenti, ossia il documento «Swiss Government PKI – Root CA IV - CP_CPS EN» o le «Condizioni contrattuali e di utilizzo per i certificati di classe A – certificato regolamentato per le autorità».
  • Il LRA-Officer ritiene opportuna una revoca per altri motivi.

• Possibili richiedenti di una revoca?

  • Il richiedente originario.
  • Il titolare del certificato, ossia la persona con diritto di firma secondo l’iscrizione nel registro IDI o nel registro di commercio.
  • Il superiore gerarchico.
  • Il responsabile della SG-PKI.
  • Il security officer della SG-PKI.
  • Il LRA-Officer della SG-PKI.
  • L’incaricato della sicurezza informatica dell’unità amministrativa (ISIU).

• Modalità di richiesta di una revoca?

  • Il richiedente originario si reca di persona presso alla LRA.
  • Una persona autorizzata invia la richiesta di revoca alla LRA per posta.
  • Una persona autorizzata invia la richiesta di revoca per e-mail apponendo la firma elettronica (chiave di firma), tranne che la revoca sia dovuta a una compromissione presunta o accertata della chiave di firma.

  Se la revoca non è presentata dal richiedente, deve obbligatoriamente essere presentata in forma scritta e firmata.