4. Sospensione del certificato - BancaIdentity

___________________________________________________________________________________
Bancaidentity
SERVIZIO DI FIRMA DIGITALE
MANUALE CLIENTE
1
___________________________________________________________________________________
INDICE
1.
PRESENTAZIONE DEL SERVIZIO
3
2.
FUNZIONALITÀ DI PRIMO ACCESSO
4
2.1
Test configurazione postazione e prova di firma
2.2
Cambio PIN della smart card
5
11
3.
COME SBLOCCARE LA SMART CARD
12
4.
SOSPENSIONE DEL CERTIFICATO
12
4.1
5.
5.1
Sospensione del certificato richiesto dall'azienda
RIPRISTINO DEL CERTIFICATO
13
14
Ripristino del certificato richiesto dall'azienda
14
6.
REVOCA DEL CERTIFICATO
16
7.
RINNOVO DEL CERTIFICATO
16
8.
HELP DESK
16
9.
GLOSSARIO
17
2
___________________________________________________________________________________
1. Presentazione del servizio
Gentile Cliente,
Siamo lieti di presentarLe il Servizio di Firma Digitale di Sanpaolo IMI “Bancaidentity” e La ringraziamo
sin da ora per aver scelto la nostra banca.
Le ricordiamo che il certificato di firma digitale in suo possesso ha validità sia nell’ambito del circuito
Identrus sia nell’ambito del circuito CNIPA. Le modalità operative della firma risultano differenti nei due
ambiti.
Firma CNIPA
La firma CNIPA viene applicata su un documento in locale presso la postazione dell’utente.
Per informazioni dettagliate circa la firma CNIPA e la firma Digitale in generale, La invitiamo a fare
riferimento al Manuale d’uso del prodotto “File Protector” disponibile sul CD di installazione del kit
aziendale di firma digitale.
La informiamo inoltre che, in caso di coinvolgimento di entità del Gruppo Sanpaolo IMI, è necessario
concordare preventivamente i tempi e le modalità di scambio di eventuale documentazione firmata in
modo digitale, al fine di garantirne il corretto recepimento. Tale comportamento è comunque suggerito
in ogni caso, in quanto i tempi e le modalità di diffusione delle relative procedure informatiche può
essere graduale e non uniforme su tutti gli aspetti di operatività del ricevente. Inoltre il certificato di
firma non è per ora utilizzabile per la firma delle mail.
Firma Identrus
La firma Identrus viene utilizzata su pagine Web e in un prossimo futuro sui servizi di LINKS Sanpaolo.
Selezionando dalla pagina WEB il tasto o un link relativo all’invocazione dell’operazione di firma
verranno visualizzate le videate proposte nel prossimo capitolo nell’ambito della descrizione delle azioni
da effettuare per il test di firma. Una volta inserito il PIN e data conferma, il processo operativo prosegue
all’interno dell’applicazione WEB che ha richiesto la firma.
Buona lettura!
3
___________________________________________________________________________________
2. Funzionalità di primo accesso
La preghiamo innanzitutto di controllare che sia stata effettuata l’installazione sul Suo PC dell’apposito
lettore smart card e del software contenuti nel kit aziendale consegnato alla Sua Azienda in seguito alla
stipulazione del contratto del Servizio di Firma Digitale Bancaidentity.
Quindi , per poter accedere alle funzionalita’ di primo accesso, è necessario collegarsi al sito
http://ca.sanpaoloimi.com e selezionare il collegamento “Operatività cliente” in alto a destra (Figura 1).
Figura 1
4
___________________________________________________________________________________
Viene visualizzata la pagina su cui sono disponibili le funzioni operative relative al certificato di firma
(Figura 2). Le funzioni di primo accesso quali la Verifica della configurazione della postazione cliente e il
Cambio PIN della smart card sono accessibili a tutti mentre le operazioni di sospensione e di ripristino
dei certificati sono di competenza esclusiva dei referenti operativi aziendali.
Figura 2
2.1 Test configurazione postazione e prova di firma
Si tratta della funzionalità che verifica le impostazioni del PC impiegato dal cliente per effettuare le
operazioni di firma. Cliccando sulla voce ‘Verifica della configurazione della postazione cliente’ si accede
alla pagina riportata in figura 3: l'utente deve inserire i propri dati personali ed il codice del contratto
reperibile nella documentazione rilasciata dalla filiale (vedi Lettera Accompagnatoria per il Certificate
Holder).
Selezionando il tasto ‘Procedi’ si avanza alla videata successiva.
Figura 3
5
___________________________________________________________________________________
Nel passo successivo, la procedura esegue un vero e proprio "check" del computer cliente controllando
in sequenza:
•
•
•
•
il sistema operativo: le versioni consentite sono Windows 2000, Windows ME e Windows XP;
il browser: è possibile utilizzare Microsoft Internet Explorer (versione 5.5 o superiore), oppure
Netscape Navigator (versione 6.x o successiva);
la java virtual machine: per poter firmare con la smart card presente nel kit cliente consegnato
all'utente è necessario specificare nelle impostazioni avanzate del browser una Java Virtual
Machine;
le impostazioni di protezione relative ai cookies.
N.B. Le informazioni sopra riportate sono delineate in dettaglio nel Manuale di Installazione del software
di firma consegnato alla Sua Azienda all’interno del KIT Aziendale.
Al termine del controllo, la procedura presenta a video l’esito del test indicando l’avvenuto
completamento della rilevazione dati tramite la dicitura ’’LETTURA CONFIGURAZIONE ESEGUITA’
(confrontare figura 4).
Premendo il pulsante ‘Spedisci’ l’utente invia la configurazione al nostro operatore di Help Desk per
poter. (In caso di problemi nei passi successivi, richiedere assistenza nella risoluzione delle anomalie ).
Figura 4
6
___________________________________________________________________________________
La videata di figura 5 contiene il riepilogo delle informazioni spedite all'operatore di Help Desk con
l’indicazione del numero di rilevazione assegnato.
Il prospetto riassuntivo puo’ essere stampato e conservato per successive consultazioni.
A questo punto è possibile procedere al test di firma effettivo con la smart card, selezionando il tasto
‘Prova a firmare’.
Figura 5
7
___________________________________________________________________________________
Viene presentata una maschera di avviso di esecuzione di un’applet firmata. E’ necessario acconsentire
1
allo scaricamento dell’applet cliccando sul tasto SI della finestra riportata nella sottostante figura 6.
Figura 6
Viene dunque visualizzata la successiva videata di figura 7 dove si richiede di selezionare il tasto
‘VISUALIZZA’ per procedere.
1
Questo pop-up può essere visualizzato o meno a seconda delle impostazioni di sicurezza del browser.
8
___________________________________________________________________________________
Figura 7
Viene a questo punto aperta un’applicazione che consente la visualizzazione dei dati sottoposti a firma.
Nel caso di semplici dati di testo, come in questo caso, viene aperta l’applicazione “Blocco Note”
(Figura 8). L’utente deve chiudere l’applicazione perché il tasto “Firma” risulti abilitato.
Figura 8
9
___________________________________________________________________________________
A questo punto, selezionare il tasto “Firma”. Viene cosi presentata una videata dove e’ richiesto
l’inserimento del PIN della smart card e la successiva selezione del tasto OK. (figura 9) Il PIN da inserire
e’ da comporre secondo quanto indicato sulla lettera accompagnatoria del kit cliente alla voce “PIN della
carta” (prime tre cifre disponibili sulla lettera a cui aggiungere le cifre contenute nella busta di sicurezza
consegnata all’utente in filiale durante la Registrazione.).
Es. nel caso in cui sulla lettera accompagnatoria sia scritto (nel campo PIN della carta):
678XXXXX
e sulla busta “codice segreto” ci sia scritto
12345
Il PIN iniziale della smart card sarà:
67812345
Figura 9
Nel caso di completamento con successo della procedura, viene mostrato all’utente il messaggio di
successo di Figura 10.
10
___________________________________________________________________________________
Figura 10
2.2 Cambio PIN della smart card
La smart card è protetta da una parola segreta chiamata PIN. Per accedere ai dati riservati della smart
card nonché per effettuare una operazione di firma, l’utente deve inserire il PIN corretto.
E’ di fondamentale importanza che il vostro PIN rimanga segreto, per evitare che un malintenzionato
che venisse eventualmente in possesso della vostra smart card, possa firmare al vostro posto.
Per cambiare il PIN è necessario, dalla pagina iniziale del sito (già mostrata in figura 1), selezionare la
funzione “Operatività” e quindi “Cambio PIN della smart card”.
Viene così visualizzata la seguente videata:
L’utente inserisce il PIN attuale della smart card, il nuovo PIN scelto e la relativa conferma e preme sul
pulsante “Conferma”.
11
___________________________________________________________________________________
L’applicazione dà conferma all’utente dell’avvenuto cambio PIN mediante il messaggio “Pin cambiato
con successo”.
2
Per motivi di sicurezza, il PIN smart card dovrà essere lungo al minimo 8 caratteri alfanumerici . La
smart card stessa impedirà che l’utente possa inserire PIN più corti di 8 caratteri.
Nel caso il PIN venga inserito errato per 4 volte consecutive, la smart card protegge se stessa
bloccandosi: da quel momento in poi, tale smart card non è più utilizzabile per effettuare delle firme, a
meno che non venga sbloccata. (Per sbloccare la smart card si faccia riferimento al paragrafo
seguente).
Dato che a seguito di una operazione di sblocco, la smart card viene ri-inizializzata con il PIN
iniziale, si raccomanda l’utente di conservare, in un luogo sicuro, la lettera accompagnatoria e la
busta codice segreto.
3. Come sbloccare la smart card
In base alle regole del circuito Identrus, lo sblocco della smart card deve essere effettuato presso un
centro preposto allo sblocco in quanto il titolare della smart card non può avere contemporaneamente a
disposizione il PIN e il PUK della smart card. Per questo, nel caso in cui l’utente abbia bloccato la smart
card, deve consegnarla alla più vicina filiale di una banca del Gruppo Sanpaolo. La filiale provvederà a
spedire la smart card al centro servizi deputato allo sblocco.
Tale centro servizi, effettuato lo sblocco, provvederà ad inviare al cliente la smart card sbloccata via
posta prioritaria.
La smart card sarà inizializzata con il PIN iniziale (quello con cui era impostata nel momento in cui è
stata consegnata al cliente la prima volta).
Per motivi di sicurezza, in accordo con le regole del circuito Identrus, la smart card non può essere
sbloccata per più di 6 volte.
4. Sospensione del certificato
La funzione di Sospensione del Certificato permette una temporanea sospensione del servizio di firma
digitale. Questo può essere utile nel caso in cui si abbia il timore che la smart card sia stata smarrita o ci
si debba assentare per un certo periodo. Il certificato potrà essere reso nuovamente utilizzabile tramite
la funzione di Ripristino.
Si potrà sospendere il Certificato di Firma recandosi presso una filiale del gruppo Sanpaolo IMI, via
Help Desk oppure tramite accesso al sito indicato in questo manuale. La sospensione via internet può
essere effettuata esclusivamente dal “Referente Operativo Aziendale”, definito nel momento della
2
Per alfanumerico si intende un codice contenente sia numeri che caratteri. Inoltre si ricorda che il PIN è “case
sensitive” ovvero i caratteri maiuscoli sono differenti dai caratteri minuscoli. Se ho inserito come PIN “123Prova”
non posso digitare “123prova” né “123PROVA”,… ma esclusivamente “123Prova” (riportando quindi i singoli
caratteri esattamente come erano stati inseriti).
12
___________________________________________________________________________________
stipula del contratto aziendale di firma digitale. Tale “Referente Operativo”
sospendere i certificati legati al numero di contratto di cui è gestore.
potrà esclusivamente
4.1 Sospensione del certificato richiesto dall'azienda
Quando il referente operativo effettua il login alla funzionalità di sospensione inserendo la propria smart
card e il relativo PIN di protezione, viene visualizzata una pagina con (cfr. Figura 11):
•
i dati personali dell'utente che ha fatto accesso alla funzionalità;
•
il nome e la partita IVA dell'azienda che ha stipulato il contratto;
•
il numero del contratto per cui l'utente ricopre il ruolo di referente operativo;
•
una tabella contenente i certificate holder appartenenti al contratto specificato alla voce Numero
contratto; per ciascun certificate holder sono mostrati i certificati di Identity e di Utility in suo
possesso.
Per sospendere una coppia di certificati, il referente operativo deve cliccare sul bottone Sospendi posto
a fianco della colonna Certificato; tale operazione viene firmata ricorrendo al certificato presente sulla
smart card del referente operativo, seguendo la sequenza delle operazioni descritte in precedenza al
capitolo “Funzionalità di primo accesso”.
Figura 11
Se la sospensione del certificato è andata a buon fine, viene visualizzato il messaggio di figura 12.
13
___________________________________________________________________________________
Figura 12
5. Ripristino del certificato
Il Ripristino permette di rendere nuovamente utilizzabile il certificato di firma digitale, precedentemente
sospeso.
Si potrà ripristinare il Certificato di Firma o recandosi presso una filiale del gruppo Sanpaolo IMI o via
Internet. Il ripristino via internet può essere effettuato esclusivamente dal “Referente Operativo
aziendale”, definito nel momento della stipula del contratto di firma digitale. Tale “Referente Operativo”
potrà esclusivamente ripristinare i certificati legati al numero di contratto di cui è gestore.
5.1 Ripristino del certificato richiesto dall'azienda
La sequenza delle operazioni è analoga al caso della sospensione, con la differenza che il referente
operativo, per ripristinare un certificato, preme il bottone Riattiva nella videata di figura 13 anziché
Sospendi.
14
___________________________________________________________________________________
Figura 13
Se il ripristino del certificato è andato a buon fine, viene visualizzato il messaggio di figura 14.
Figura 14
15
___________________________________________________________________________________
6. Revoca del Certificato
La revoca del certificato può essere necessaria nei seguenti casi:
smarrimento o furto della smart card;
smart card non più utilizzabile;
dimenticanza del PIN e concomitante smarrimento della busta “codice segreto” iniziale e
della lettera accompagnatoria;
passaggio ad altra azienda.
Per effettuare la revoca del certificato, è necessario recarsi in filiale.
7. Rinnovo del Certificato
I certificati di firma Bancaidentity hanno validità 3 anni.
Il rinnovo del certificato verrà effettuato in automatico alla scadenza del certificato precedente.
Si riceverà una nuova smart card con un nuovo certificato. Il PIN iniziale di tale smart card è impostato
in base alla lettera accompagnatoria della smart card e alla busta “codice segreto” consegnata all’utente
in filiale durante la prima registrazione.
Es. nel caso in cui sulla lettera accompagnatoria sia scritto (nel campo PIN della carta):
987XXXXX
e sulla busta “codice segreto” ci sia scritto
12345
Il PIN iniziale della smart card sarà:
98712345
Alla ricezione della smart card si invita l’utente a effettuare il cambio PIN in base a quanto riportato nel
relativo paragrafo.
8. Help Desk
Per eventuali problemi può contattare l’help desk al numero 800-318800.
16
___________________________________________________________________________________
9. Glossario
A cosa serve un certificato di firma digitale
Un certificato di firma digitale può sostituire la firma apposta su un modulo cartaceo nei servizi bancari
erogati tramite internet che lo prevedono.
Firma digitale
"Per firma digitale s'intende il risultato della procedura informatica (validazione) basata su un sistema di
chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore (titolare) tramite
la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di
verificare la provenienza e l'integrità di un documento informatico".
La firma digitale si esplicita nei seguenti passi:
a) dal documento in chiaro del mittente viene calcolato un "message digest" (riassunto) attraverso un
processo di compressione, chiamato sistema di hashing, che ne garantisce l'integrità;
b) il message digest così formato viene crittografato con la chiave privata (segreta) del mittente
ottenendo la firma;
c) il documento originale (in chiaro) viene inviato insieme alla firma (del message digest) e al certificato
che contiene la chiave pubblica del mittente. Aggiungere il certificato consente al destinatario una
verifica della firma più agevole in quanto il certificato che contiene la chiave pubblica del mittente è
appeso al documento.
Message digest
Documento originale
2rhitrtmsold
Message digest
Firma
Il risultato è:
- Documento originale (in chiaro)
- Firma
- Certificato del mittente (contenente
la sua chiave pubblica)
2rhitrtmsold
Certificato
Mittente
17
___________________________________________________________________________________
Chiavi asimmetriche
Coppia di chiavi crittografiche una privata e una pubblica, correlate tra loro, utilizzate nell’ambito dei
sistemi di validazione.
Chiave privata
Elemento della coppia di chiavi asimmetriche, destinato a essere conosciuto dal soggetto titolare,
mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento
informatico in precedenza cifrato mediante la corrispondente chiave pubblica.
Chiave pubblica
Elemento della coppia di chiavi asimmetriche destinato a essere reso pubblico, con il quale si verifica la
firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i
documenti informatici da trasmettere al titolare delle predette chiavi.
Certificato
Un certificato è un insieme di informazioni in formato standard. Esso viene utilizzato per distribuire in
modo sicuro le chiavi pubbliche dei clienti. Viene memorizzato sul dispositivo di firma per agevolare il
processo di firma.
Le informazioni contenute sono le seguenti:
• il nome del soggetto certificato;
• la chiave pubblica del soggetto certificato;
• il periodo di tempo in cui il certificato deve essere utilizzato (attualmente un anno);
• la Certification Authority che lo ha emesso;
• la firma della Certification Authority che ha emesso il certificato.
Il legame tra il possessore del certificato e la chiave pubblica in esso contenuta viene garantito (firmato)
da un ente emittente chiamato Certification Authority.
Certificatore
Soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo
inserisce in un archivio pubblico, pubblica e aggiorna gli elenchi dei certificati sospesi e revocati.
Certificazione
Il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di
validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto
titolare cui essa appartiene, si identifica quest’ultimo e si attesta il periodo di validità della predetta
chiave e il termine di scadenza del relativo certificato.
Registration Authority
La Registration Authority è un ente responsabile dell’identificazione fisica dei soggetti che richiedono la
certificazione. Questo ruolo viene svolto da SanpaoloIMI.
18
___________________________________________________________________________________
Certification Authority
La Certification Authority è un'entità che gode della fiducia di tutti gli utenti che operano nel sistema. La
CA deve essere depositaria di fiducia in quanto garantisce che ogni Chiave Pubblica è direttamente
legata ad una persona fisica attraverso un certificato. La CA si avvale di altre entità chiamate Autorità di
Registrazione (Registration Authority) per garantire che il richiedente sia esattamente quello riportato nel
certificato.
La CA fornisce i seguenti servizi base ai suoi utenti finali:
• emissione del Certificato,
• emissione della Lista dei Certificati Revocati (Certificate Revocation List, CRL),
• rinnovo del Certificato,
• revoca del Certificato.
19