ข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ คืออะไร?

 

 

ข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (AICPA/CICA WebTrust Program for Certification Authorities) เป็นข้อกำหนดที่พัฒนาโดยหน่วยงาน American Institute of Certified Public Accountants, Inc. (AICPA) และ Canadian Institute of Chartered Accountants (CICA) เพื่อใช้เป็นมาตรฐานในการตรวจประเมินผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ว่าบริการของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เหล่านั้นมีความน่าเชื่อถือหรือไม่ ซึ่งข้อกำหนด WebTrust นั้นยังได้รับการยอมรับจาก บริษัทไมโครซอฟต์ ภายใต้ โปรแกรมการเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Microsoft Root Certificate Program) โดยวัตถุประสงค์ของการตรวจสอบผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ภายใต้ข้อกำหนดของ WebTrust นั้นมีเพื่อให้มั่นใจได้ว่าผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์รายนั้นๆ ได้ดำเนินการตามข้อกำหนด WebTrust อย่างครบถ้วนถูกต้อง และมีการรักษาความมั่นคงปลอดภัยตามกระบวนการทางด้าน PKI และวิทยาการระบบรหัส ทั้งนี้เนื่องจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ถือได้ว่าเป็นผู้มีบทบาทสำคัญในการยืนยันตัวตนผู้ทำธุรกรรมทางอิเล็กทรอนิกส์ โดยการออกใบรับรองอิเล็กทรอนิกส์เพื่อรับรองตัวตนของเอนทิตี้ต่างๆ จึงจำเป็นต้องมีการดำเนินการที่มั่นคงปลอดภัยและน่าเชื่อถือนั่นเอง

หลักการเบื้องต้นของข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

หลักการเบื้องต้นของข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ แบ่งออกเป็น 3 หลักการ ดังนี้

Principle 1 : การเปิดเผยแนวปฏิบัติในการประกอบธุรกิจการให้บริการออกใบรับรอง (CA Business Practices Disclosure) เป็นหลักการที่ให้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ เปิดเผยกระบวนการและบริการที่เกี่ยวข้องกับการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรอง รวมถึง แนวปฏิบัติที่เกี่ยวกับเก็บรักษาและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการและคู่กรณีที่เกี่ยวข้อง โดยข้อมูลดังกล่าวจะต้องมีการประกาศให้กับผู้ขอใช้บริการและคู่กรณีที่เกี่ยวข้อง ซึ่งโดยทั่วไปผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะประกาศในเอกสารแนวนโยบาย (Certificate Policy: CP) แนวปฏิบัติ (Certification Practice Statement: CPS) รวมถึงเอกสารอื่นๆ ที่เกี่ยวข้องไว้ที่บนเว็บไซต์ของผู้ให้บริการ

Principle 2 : ความครบถ้วนถูกต้องในการให้บริการ (Service Integrity) เป็นหลักการที่กำหนดให้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ ต้องควบคุมการให้บริการอย่างมีประสิทธิภาพเพื่อให้เกิดความเชื่อมั่นว่า

  • CA ได้มีการตรวจสอบข้อมูลผู้ขอใช้บริการอย่างเหมาะสม (ในกรณีที่ CA ได้ดำเนินการรับลงทะเบียนจากผู้ขอใช้บริการเอง)
  • มีการป้องกันและรักษาความครบถ้วนถูกต้องของกุญแจและใบรับรอง ตั้งแต่กระบวนการสร้างจนสิ้นสุดวงจรการใช้งานกุญแจและใบรับรอง (Key and Certificate Life Cycle)
ซึ่งการรักษาความครบถ้วนถูกต้องของในการให้บริการนั้นจำเป็นต้องประกอบไปด้วย
  1. มีกระบวนการในการดำเนินการและการควบคุมการบริหารจัดการกุญแจ (Key Management) ที่มีประสิทธิภาพ ในกระบวนการดังต่อไปนี้
    • การสร้างกุญแจของ CA (CA Key Generation)
    • การจัดเก็บกุญแจของ CA (CA Key Storage) การสำรองกุญแจของ CA (CA Key Backup) การกู้คืนกุญแจของ CA (CA Key Recovery)
    • การเผยแพร่กุญแจสาธารณะของ CA (CA Public Key Distribution) โดยเฉพาะอย่างยิ่งใบรับรองในลำดับชั้นบนสุด (Root Certificate)
    • การรับฝากกุญแจของ CA โดยบุคคลที่สาม (CA Key Escrow) (ถ้ามี) การใช้งานกุญแจของ CA (CA Key Usage) การทำลายกุญแจของ CA (CA Key Destruction) การเก็บรักษากุญแจของ CA แบบถาวร (CA Key Archival)
    • การบริหารจัดการอุปกรณ์สำหรับจัดเก็บกุญแจของ CA ตั้งแต่กระบวนการสร้างจนสิ้นสุดวงจรการใช้งานกุญแจ
    • การบริหารจัดการกุญแจของผู้ใช้บริการ ในกรณีที่ CA เป็นผู้สร้างกุญแจให้กับผู้ขอใช้บริการ
  2. มีการกำหนดแนวปฏิบัติในการให้บริการที่มีประสิทธิภาพในกระบวนการต่างๆ ดังนี้ พร้อมทั้งเผยแพร่แนวปฏิบัติดังกล่าวในเอกสารแนวนโยบาย (Certificate Policy) แนวปฏิบัติ (Certification Practice Statement)
    • การรับลงทะเบียน (Registration)
    • การต่ออายุใบรับรอง (Renewal) (ถ้ามี)
    • การรับรองกุญแจคู่ใหม่ (Rekey)
    • การเพิกถอนใบรับรอง (Revocation)
    • การพักใช้ใบรับรอง (Suspension) (ถ้ามี)
    • การเผยแพร่สถานะของใบรับรองผ่านทางรายการเพิกถอนใบรับรอง (Certificate Revocation List : CRL) หรือในรูปแบบของ Online Certificate Status Protocol (OCSP)
    • การบริหารจัดการ Integrated Circuit Card (ICC) ที่จัดเก็บกุญแจส่วนตัวของผู้ใช้บริการ

Principle 3 : การควบคุมสภาพแวดล้อมในการให้บริการ (CA Environmental Control) เป็นหลักการที่กำหนดให้ CA ต้องควบคุมการให้บริการอย่างมีประสิทธิภาพเพื่อให้เกิดความเชื่อมั่นว่า

  • ข้อมูลของผู้ขอใช้บริการและคู่กรณีที่เกี่ยวข้องจะต้องถูกสงวนไว้เฉพาะบุคคลที่มีสิทธิ์เข้าถึงเท่านั้น รวมถึงข้อมูลดังกล่าวจะต้องไม่ถูกนำไปใช้โดยไม่ได้ระบุไว้ในแนวปฏิบัติในการให้บริการที่ได้ประกาศไว้
  • การดำเนินการในการการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรอง (Key and Certificate Life Cycle Management) ต้องได้รับการดูแลรักษาอย่างต่อเนื่อง
  • การดำเนินการให้บริการ รวมถึงการพัฒนาและการบำรุงรักษาระบบ (Maintenance) มีการดำเนินการอย่างเหมาะสม เพื่อรักษาความครบถ้วนถูกต้อง (Integrity) ในการให้บริการออกใบรับรอง

ด้วยเหตุนี้ การควบคุมสภาพแวดล้อมที่เข้มงวดรวมถึงการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรองที่เข้มงวด จึงเป็นสิ่งจำเป็นในการสร้างความเชื่อมั่นให้กับผู้ใช้บริการและคู่กรณีที่เกี่ยวข้อง ซึ่งการควบคุมดังกล่าวข้างต้นประกอบด้วย

  • การบริหารจัดการเอกสารแนวนโยบาย (CP) และแนวปฏิบัติ (CPS)
  • การบริหารจัดการความมั่นคงปลอดภัย (Security Management)
  • การแบ่งลำดับชั้นและการบริหารจัดการของสินทรัพย์ (Asset Classification and Management)
  • การรักษาความมั่นคงปลอดภัยเกี่ยวกับบุคลากร (Personnel Security)
  • การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของเครื่องมืออุปกรณ์ในการให้บริการ (Physical and Environmental Security of the CA Facility)
  • การบริหารจัดในการดำเนินงาน (Operations Management)
  • การบริหารจัดการการเข้าถึงระบบ (System Access Management)
  • การพัฒนาและการบำรุงรักษา (Systems Development and Maintenance)
  • การบริหารจัดการความต่อเนื่องของธุรกิจ (Business Continuity Management)
  • การตรวจสอบการปฏิบัติตามกฎข้อบังคับต่างๆ (Monitoring and Compliance)
  • การตรวจสอบเหตุการณ์ต่างที่เกิดขึ้น (Event Journaling)