- Wymagania dotyczące weryfikacji organizacji przez instytucję certyfikujacą
- Jakie informacje sprawdza instytucja certyfikująca przed wydaniem certyfikatu EV?
- Warunki związane z weryfikacją domeny oraz osoby wnioskującej o certyfikat EV
- Wymagania dot. weryfikacji osoby wnioskującej i zatwierdzającej wniosek o certyfikat EV
- Weryfikacja danych dot. szczegółów samego certyfikatu EV
Wymagania dotyczące weryfikacji organizacji przez instytucję certyfikujacą
Podmioty uprawnione do otrzymania certyfikatu EV:
- Agencje rządowe,
- Firmy (w tym Spółki Akcyjne, Spółki z o.o. i podobne),
- Spółki cywilne/jawne,
- Stowarzyszenia nieposiadające osobowości prawnej,
- Jednoosobowe działalności gospodarcze.
Jakie informacje sprawdza instytucja certyfikująca przed wydaniem certyfikatu EV?
Weryfikacja Twojej firmy przeprowadzana jest przez instytucję certyfikującą po uzyskaniu informacji o wpłynięciu zamówienia. Weryfikacja firmy polega głównie na sprawdzeniu dokumentu z KRS/CEIDG.
Weryfikacji podlega:
- numer rejestrowy Twojej organizacji,
- data utworzenia firmy,
- adres siedziby lub prowadzenia działalności.
W przypadku, gdy o certyfikat SSL ubiega się podmiot istniejący krócej niż 3 lata, weryfikowane są dodatkowo różnego rodzaju pozarządowe źródła danych (np. katalogi firm).
W wyjątkowych sytuacjach weryfikowane jest istnienie oraz utrzymywanie aktywnego konta bankowego, depozytowego, czekowego lub innego (w instytucji finansowej, np. banku), a także instytucja certyfikująca może poprosić o dostarczenie oficjalnego pisma z opinią potwierdzającą istnienie firmy – pismo takie powinno być wystawione i podpisane przez prawnika (potwierdzenie prowadzenia działalności przez adwokata – „Lawyer or Accountant’s Opinion Letter”).
Aby przyśpieszyć proces weryfikacji, sugerujemy umieścić wpis Twojej firmy w bazie katalogów firm, które dostępne są w Internecie, np. Yellow Pages (yellowpages.pl).
Nie jest to czynność obowiązkowa, ale w znacznym stopniu przyśpieszająca weryfikację jednostki ubiegającej się o certyfikat SSL. Nazwa firmy i adres muszą być zgodne z danymi znajdującymi się na dokumentach rejestrowych. Zalecane jest również, aby numer telefonu podawany dla osoby zatwierdzającej i/lub zamawiającej certyfikat, znajdował się również w profilu firmy na yellowpages.pl.
Warunki związane z weryfikacją domeny oraz osoby wnioskującej o certyfikat
Dane firmy zawarte w bazie Whois dla domeny powinny być całkowicie zgodne z informacjami wpisanymi w pliku żądania certyfikatu (CSR) oraz w dokumencie rejestrowym firmy. Jeśli dane są różne, niezbędne jest dokonanie dodatkowego potwierdzenia praw do dysponowania domeną (np. potwierdzenie przez adwokata).
Dodatkowo należy pamiętać, że:
-
w przypadku domen globalnych, Twoja domena powinna zostać zarejestrowana przez registrara (np. przez home.pl) akredytowanego przez ICANN (Internet Corporation for Assigned Names and Numbers).
-
wydanie certyfikatu SSL jest niemożliwe, gdy dane dysponenta w bazie WHOIS są niejawne – zarówno dla domen, gdzie dysponentem jest osoba fizyczna, jak i korzystających z usługi Whois Privacy. Dane te muszą zostać ujawnione.
-
osoba zamawiająca lub zatwierdzająca zamówienie certyfikatu musi wykazać się wiedzą na temat dysponenta certyfikowanej domeny, podczas rozmowy telefonicznej (w języku angielskim).
Wymagania dot. weryfikacji osoby wnioskującej i zatwierdzającej wniosek o certyfikat
Gdy przedstawiciel instytucji certyfikującej zadzwoni do Twojej firmy, to osoba zatwierdzająca certyfikat SSL (czyli Twój pracownik) musi być:
- pracownikiem podmiotu certyfikowanego (czyli Twojej firmy), ale także:
- posiadać odpowiednie upoważnienie do reprezentowania Twojej firmy.
W przypadku, gdy osoba zatwierdzająca certyfikat nie jest wskazana w oficjalnych dokumentach rejestrowych, nie jest to, np. właściciel, dyrektor lub prezes, to niezbędna będzie dodatkowa weryfikacja tej osoby, np.
- przedstawienie opinii prawnika w tym zakresie,
-
bezpośredni kontakt przedstawiciela instytucji certyfikujacej z przełożonym lub inną osobą będącą wyżej w hierarchii, mogącą potwierdzić tożsamość wnioskodawcy. Instytucja certyfikująca może również kontaktować się w tej sprawie bezpośrednio z działem personalnym (HR) w celu weryfikacji tych danych.
Zapoznaj się również z opracowanym przez instytucją certyfikującą dokumentem informującym o warunkach zamówienia certyfikatu (wymagana znajomość j. angielskiego).
Weryfikacja danych dot. szczegółów samego certyfikatu
Instytucja certyfikująca dokonuje weryfikacji informacji wskazanych we wniosku o certyfikat EV kontaktując się telefonicznie z osobą wskazaną do tego procesu – osobą zamawiającą lub zatwierdzającą certyfikat SSL (tutaj następuje również niezależna weryfikacja wskazanego numeru telefonu).
Metody weryfikacji numeru telefonu jako właściwego są następujące:
- weryfikacja książek telefonicznych oraz innych baz danych numerów telefonów – czy ów numer występuje. Dotyczy to także głównego firmowego numeru telefonu.
- pismo przesłane przez niezależnego i wiarygodnego adwokata (zrzeszonego w Krajowym Rejestrze Adwokatów i Aplikantów Adwokackich) lub radcę prawnego (zrzeszonego w Okręgowej Izbie Radców Prawnych),
- weryfikacja strony WWW wnioskodawcy, w poszukiwaniu numeru telefonu do osoby odpowiedzialnej za potwierdzenie certyfikatu SSL, dokonywana przez przedstawiciela instytucji certyfikującej.
W trakcie rozmowy weryfikacyjnej (w języku angielskim), osoba wytypowana przez wnioskodawcę jako zatwierdzająca wniosek o certyfikat SSL powinna być w stanie potwierdzić następujące informacje:
- nazwę firmy, która złożyła wniosek o certyfikat EV oraz prawo osoby zatwierdzającej wniosek o certyfikat do reprezentowania firmy w zakresie procedury weryfikacyjnej.
- prawo do dysponowania domeną przez firmę, która wnioskuje o certyfikat EV.
- potwierdzić chęci otrzymania certyfikatu EV (czy wniosek jest prawdziwy).
- zatwierdzić warunki uzyskania certyfikatu SSL typu EV, uznając instytucje certyfikującą jako „wiarygodny wystawca certyfikatu”.
Zabezpiecz stronę WWW certyfikatem SSL
Chroń dane formularzy i transakcji z zieloną kłódką przy adresie.
