TOP

Sitemap

Sitemap Descriptions

เกี่ยวกับ สพธอ.

Knowledge Sharing

ข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

NRCA Documents
  • 21 ส.ค. 60
  • 1012

ข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

ข้อกำหนด WebTrust คืออะไร

ข้อกำหนด WebTrust เป็นข้อกำหนดที่พัฒนาโดย American Institute of Certified Public Accountants, Inc. (AICPA) และ Canadian Institute of Chartered Accountants (CICA) เพื่อใช้เป็นมาตรฐานในการตรวจประเมินผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ว่าบริการของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เหล่านั้นมีความน่าเชื่อถือหรือไม่ ซึ่งข้อกำหนด WebTrust นั้นยังได้รับการยอมรับจาก บริษัท ไมโครซอฟท์ ภายใต้ โปรแกรมการเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Microsoft Root Certificate Program)

วัตถุประสงค์ของการตรวจสอบผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ภายใต้ข้อกำหนดของ WebTrust นั้น มีเพื่อให้มั่นใจได้ว่าผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์รายนั้น ๆ ได้ดำเนินการตามข้อกำหนด WebTrust อย่างครบถ้วนถูกต้อง และมีการรักษาความมั่นคงปลอดภัยตามกระบวนการทางด้าน PKI และวิทยาการระบบรหัส ทั้งนี้เนื่องจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ถือได้ว่าเป็นผู้มีบทบาทสำคัญในการยืนยันตัวตนผู้ทำธุรกรรมทางอิเล็กทรอนิกส์ โดยการออกใบรับรองอิเล็กทรอนิกส์เพื่อรับรองตัวตนของเอนทิตี้ต่างๆ จึงจำเป็นต้องมีการดำเนินการที่มั่นคงปลอดภัยและน่าเชื่อถือนั่นเอง


หลักการเบื้องต้นของข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

หลักการเบื้องต้นของข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ แบ่งออกเป็น 3 หลักการ ดังนี้

Principle 1 : การเปิดเผยแนวปฏิบัติในการประกอบธุรกิจการให้บริการออกใบรับรอง (CA Business Practices Disclosure) เป็นหลักการที่ให้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ เปิดเผยกระบวนการและบริการที่เกี่ยวข้องกับการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรอง รวมถึง แนวปฏิบัติที่เกี่ยวกับเก็บรักษาและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการและคู่กรณีที่เกี่ยวข้อง โดยข้อมูลดังกล่าวจะต้องมีการประกาศให้กับผู้ขอใช้บริการและคู่กรณีที่เกี่ยวข้อง ซึ่งโดยทั่วไปผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะประกาศในเอกสารแนวนโยบาย (Certificate Policy: CP) แนวปฏิบัติ (Certification Practice Statement: CPS) รวมถึงเอกสารอื่นๆ ที่เกี่ยวข้องไว้ที่บนเว็บไซต์ของผู้ให้บริการ

Principle 2 : ความครบถ้วนถูกต้องในการให้บริการ (Service Integrity) เป็นหลักการที่กำหนดให้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ ต้องควบคุมการให้บริการอย่างมีประสิทธิภาพเพื่อให้เกิดความเชื่อมั่นว่า
  • CA ได้มีการตรวจสอบข้อมูลผู้ขอใช้บริการอย่างเหมาะสม (ในกรณีที่ CA ได้ดำเนินการรับลงทะเบียนจากผู้ขอใช้บริการเอง)
  • มีการป้องกันและรักษาความครบถ้วนถูกต้องของกุญแจและใบรับรอง ตั้งแต่กระบวนการสร้างจนสิ้นสุดวงจรการใช้งานกุญแจและใบรับรอง (Key and Certificate Life Cycle)
การรักษาความครบถ้วนถูกต้อง ของในการให้บริการนั้นจำเป็นต้องประกอบไปด้วย

1. มีกระบวนการในการดำเนินการและการควบคุมการบริหารจัดการกุญแจ (Key Management) ที่มีประสิทธิภาพ ในกระบวนการดังต่อไปนี้
  • การสร้างกุญแจของ CA (CA Key Generation)
  • การจัดเก็บกุญแจของ CA (CA Key Storage) การสำรองกุญแจของ CA (CA Key Backup) การกู้คืนกุญแจของ CA (CA Key Recovery)
  • การเผยแพร่กุญแจสาธารณะของ CA (CA Public Key Distribution) โดยเฉพาะอย่างยิ่งใบรับรองในลำดับชั้นบนสุด (Root Certificate)
  • การรับฝากกุญแจของ CA โดยบุคคลที่สาม (CA Key Escrow) (ถ้ามี) การใช้งานกุญแจของ CA (CA Key Usage) การทำลายกุญแจของ CA (CA Key Destruction) การเก็บรักษากุญแจของ CA แบบถาวร (CA Key Archival)
  • การบริหารจัดการอุปกรณ์สำหรับจัดเก็บกุญแจของ CA ตั้งแต่กระบวนการสร้างจนสิ้นสุดวงจรการใช้งานกุญแจ
  • การบริหารจัดการกุญแจของผู้ใช้บริการ ในกรณีที่ CA เป็นผู้สร้างกุญแจให้กับผู้ขอใช้บริการ
2. มีการกำหนดแนวปฏิบัติในการให้บริการที่มีประสิทธิภาพในกระบวนการต่างๆ ดังนี้ พร้อมทั้งเผยแพร่แนวปฏิบัติดังกล่าวในเอกสารแนวนโยบาย (Certificate Policy) แนวปฏิบัติ (Certification Practice Statement)
  • การรับลงทะเบียน (Registration)
  • การต่ออายุใบรับรอง (Renewal) (ถ้ามี)
  • การรับรองกุญแจคู่ใหม่ (Rekey)
  • การเพิกถอนใบรับรอง (Revocation)
  • การพักใช้ใบรับรอง (Suspension) (ถ้ามี)
  • การเผยแพร่สถานะของใบรับรองผ่านทางรายการเพิกถอนใบรับรอง (Certificate Revocation List : CRL) หรือในรูปแบบของ Online Certificate Status Protocol (OCSP)
  • การบริหารจัดการ Integrated Circuit Card (ICC) ที่จัดเก็บกุญแจส่วนตัวของผู้ใช้บริการ
Principle 3 : การควบคุมสภาพแวดล้อมในการให้บริการ (CA Environmental Control) เป็นหลักการที่กำหนดให้ CA ต้องควบคุมการให้บริการอย่างมีประสิทธิภาพเพื่อให้เกิดความเชื่อมั่นว่า
  • ข้อมูลของผู้ขอใช้บริการและคู่กรณีที่เกี่ยวข้องจะต้องถูกสงวนไว้เฉพาะบุคคลที่มีสิทธิ์เข้าถึงเท่านั้น รวมถึงข้อมูลดังกล่าวจะต้องไม่ถูกนำไปใช้โดยไม่ได้ระบุไว้ในแนวปฏิบัติในการให้บริการที่ได้ประกาศไว้
  • การดำเนินการในการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรอง (Key and Certificate Life Cycle Management) ต้องได้รับการดูแลรักษาอย่างต่อเนื่อง
  • การดำเนินการให้บริการ รวมถึงการพัฒนาและการบำรุงรักษาระบบ (Maintenance) มีการดำเนินการอย่างเหมาะสม เพื่อรักษาความครบถ้วนถูกต้อง (Integrity) ในการให้บริการออกใบรับรอง
ด้วยเหตุนี้ การควบคุมสภาพแวดล้อมที่เข้มงวดรวมถึงการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรองที่เข้มงวด จึงเป็นสิ่งจำเป็นในการสร้างความเชื่อมั่นให้กับผู้ใช้บริการและคู่กรณีที่เกี่ยวข้อง ซึ่งการควบคุมดังกล่าวข้างต้นประกอบด้วย
  • การบริหารจัดการเอกสารแนวนโยบาย (CP) และแนวปฏิบัติ (CPS)
  • การบริหารจัดการความมั่นคงปลอดภัย (Security Management)
  • การแบ่งลำดับชั้นและการบริหารจัดการของสินทรัพย์ (Asset Classification and Management)
  • การรักษาความมั่นคงปลอดภัยเกี่ยวกับบุคลากร (Personnel Security)
  • การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของเครื่องมืออุปกรณ์ในการให้บริการ (Physical and Environmental Security of the CA Facility)
  • การบริหารจัดในการดำเนินงาน (Operations Management)
  • การบริหารจัดการการเข้าถึงระบบ (System Access Management)
  • การพัฒนาและการบำรุงรักษา (Systems Development and Maintenance)
  • การบริหารจัดการความต่อเนื่องของธุรกิจ (Business Continuity Management)
  • การตรวจสอบการปฏิบัติตามกฎข้อบังคับต่างๆ (Monitoring and Compliance)
  • การตรวจสอบเหตุการณ์ต่างที่เกิดขึ้น (Event Journaling)

ข้อกำหนด WebTrust มาตรฐานในการตรวจประเมินผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

Rating :
Avg: 0 (0 ratings)