ข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (AICPA/CICA WebTrust Program for Certification Authorities) เป็นข้อกำหนดที่พัฒนาโดยหน่วยงาน American Institute of Certified Public Accountants, Inc. (AICPA) และ Canadian Institute of Chartered Accountants (CICA) เพื่อใช้เป็นมาตรฐานในการตรวจประเมินผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ว่าบริการของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เหล่านั้นมีความน่าเชื่อถือหรือไม่ ซึ่งข้อกำหนด WebTrust นั้นยังได้รับการยอมรับจาก บริษัทไมโครซอฟต์ ภายใต้ โปรแกรมการเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Microsoft Root Certificate Program) โดยวัตถุประสงค์ของการตรวจสอบผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ภายใต้ข้อกำหนดของ WebTrust นั้นมีเพื่อให้มั่นใจได้ว่าผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์รายนั้นๆ ได้ดำเนินการตามข้อกำหนด WebTrust อย่างครบถ้วนถูกต้อง และมีการรักษาความมั่นคงปลอดภัยตามกระบวนการทางด้าน PKI และวิทยาการระบบรหัส ทั้งนี้เนื่องจากผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ถือได้ว่าเป็นผู้มีบทบาทสำคัญในการยืนยันตัวตนผู้ทำธุรกรรมทางอิเล็กทรอนิกส์ โดยการออกใบรับรองอิเล็กทรอนิกส์เพื่อรับรองตัวตนของเอนทิตี้ต่างๆ จึงจำเป็นต้องมีการดำเนินการที่มั่นคงปลอดภัยและน่าเชื่อถือนั่นเอง
หลักการเบื้องต้นของข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
หลักการเบื้องต้นของข้อกำหนด WebTrust สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ แบ่งออกเป็น 3 หลักการ ดังนี้
Principle 1 : การเปิดเผยแนวปฏิบัติในการประกอบธุรกิจการให้บริการออกใบรับรอง (CA Business Practices Disclosure) เป็นหลักการที่ให้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ เปิดเผยกระบวนการและบริการที่เกี่ยวข้องกับการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรอง รวมถึง แนวปฏิบัติที่เกี่ยวกับเก็บรักษาและเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการและคู่กรณีที่เกี่ยวข้อง โดยข้อมูลดังกล่าวจะต้องมีการประกาศให้กับผู้ขอใช้บริการและคู่กรณีที่เกี่ยวข้อง ซึ่งโดยทั่วไปผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะประกาศในเอกสารแนวนโยบาย (Certificate Policy: CP) แนวปฏิบัติ (Certification Practice Statement: CPS) รวมถึงเอกสารอื่นๆ ที่เกี่ยวข้องไว้ที่บนเว็บไซต์ของผู้ให้บริการ
Principle 2 : ความครบถ้วนถูกต้องในการให้บริการ (Service Integrity) เป็นหลักการที่กำหนดให้ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ ต้องควบคุมการให้บริการอย่างมีประสิทธิภาพเพื่อให้เกิดความเชื่อมั่นว่า
- CA ได้มีการตรวจสอบข้อมูลผู้ขอใช้บริการอย่างเหมาะสม (ในกรณีที่ CA ได้ดำเนินการรับลงทะเบียนจากผู้ขอใช้บริการเอง)
- มีการป้องกันและรักษาความครบถ้วนถูกต้องของกุญแจและใบรับรอง ตั้งแต่กระบวนการสร้างจนสิ้นสุดวงจรการใช้งานกุญแจและใบรับรอง (Key and Certificate Life Cycle)
ซึ่งการรักษาความครบถ้วนถูกต้องของในการให้บริการนั้นจำเป็นต้องประกอบไปด้วย
- มีกระบวนการในการดำเนินการและการควบคุมการบริหารจัดการกุญแจ (Key Management) ที่มีประสิทธิภาพ ในกระบวนการดังต่อไปนี้
- การสร้างกุญแจของ CA (CA Key Generation)
- การจัดเก็บกุญแจของ CA (CA Key Storage) การสำรองกุญแจของ CA (CA Key Backup) การกู้คืนกุญแจของ CA (CA Key Recovery)
- การเผยแพร่กุญแจสาธารณะของ CA (CA Public Key Distribution) โดยเฉพาะอย่างยิ่งใบรับรองในลำดับชั้นบนสุด (Root Certificate)
- การรับฝากกุญแจของ CA โดยบุคคลที่สาม (CA Key Escrow) (ถ้ามี) การใช้งานกุญแจของ CA (CA Key Usage) การทำลายกุญแจของ CA (CA Key Destruction) การเก็บรักษากุญแจของ CA แบบถาวร (CA Key Archival)
- การบริหารจัดการอุปกรณ์สำหรับจัดเก็บกุญแจของ CA ตั้งแต่กระบวนการสร้างจนสิ้นสุดวงจรการใช้งานกุญแจ
- การบริหารจัดการกุญแจของผู้ใช้บริการ ในกรณีที่ CA เป็นผู้สร้างกุญแจให้กับผู้ขอใช้บริการ
- มีการกำหนดแนวปฏิบัติในการให้บริการที่มีประสิทธิภาพในกระบวนการต่างๆ ดังนี้ พร้อมทั้งเผยแพร่แนวปฏิบัติดังกล่าวในเอกสารแนวนโยบาย (Certificate Policy) แนวปฏิบัติ (Certification Practice Statement)
- การรับลงทะเบียน (Registration)
- การต่ออายุใบรับรอง (Renewal) (ถ้ามี)
- การรับรองกุญแจคู่ใหม่ (Rekey)
- การเพิกถอนใบรับรอง (Revocation)
- การพักใช้ใบรับรอง (Suspension) (ถ้ามี)
- การเผยแพร่สถานะของใบรับรองผ่านทางรายการเพิกถอนใบรับรอง (Certificate Revocation List : CRL) หรือในรูปแบบของ Online Certificate Status Protocol (OCSP)
- การบริหารจัดการ Integrated Circuit Card (ICC) ที่จัดเก็บกุญแจส่วนตัวของผู้ใช้บริการ
Principle 3 : การควบคุมสภาพแวดล้อมในการให้บริการ (CA Environmental Control) เป็นหลักการที่กำหนดให้ CA ต้องควบคุมการให้บริการอย่างมีประสิทธิภาพเพื่อให้เกิดความเชื่อมั่นว่า
- ข้อมูลของผู้ขอใช้บริการและคู่กรณีที่เกี่ยวข้องจะต้องถูกสงวนไว้เฉพาะบุคคลที่มีสิทธิ์เข้าถึงเท่านั้น รวมถึงข้อมูลดังกล่าวจะต้องไม่ถูกนำไปใช้โดยไม่ได้ระบุไว้ในแนวปฏิบัติในการให้บริการที่ได้ประกาศไว้
- การดำเนินการในการการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรอง (Key and Certificate Life Cycle Management) ต้องได้รับการดูแลรักษาอย่างต่อเนื่อง
- การดำเนินการให้บริการ รวมถึงการพัฒนาและการบำรุงรักษาระบบ (Maintenance) มีการดำเนินการอย่างเหมาะสม เพื่อรักษาความครบถ้วนถูกต้อง (Integrity) ในการให้บริการออกใบรับรอง
ด้วยเหตุนี้ การควบคุมสภาพแวดล้อมที่เข้มงวดรวมถึงการบริหารจัดการวงจรการใช้งานกุญแจและใบรับรองที่เข้มงวด จึงเป็นสิ่งจำเป็นในการสร้างความเชื่อมั่นให้กับผู้ใช้บริการและคู่กรณีที่เกี่ยวข้อง ซึ่งการควบคุมดังกล่าวข้างต้นประกอบด้วย
- การบริหารจัดการเอกสารแนวนโยบาย (CP) และแนวปฏิบัติ (CPS)
- การบริหารจัดการความมั่นคงปลอดภัย (Security Management)
- การแบ่งลำดับชั้นและการบริหารจัดการของสินทรัพย์ (Asset Classification and Management)
- การรักษาความมั่นคงปลอดภัยเกี่ยวกับบุคลากร (Personnel Security)
- การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อมของเครื่องมืออุปกรณ์ในการให้บริการ (Physical and Environmental Security of the CA Facility)
- การบริหารจัดในการดำเนินงาน (Operations Management)
- การบริหารจัดการการเข้าถึงระบบ (System Access Management)
- การพัฒนาและการบำรุงรักษา (Systems Development and Maintenance)
- การบริหารจัดการความต่อเนื่องของธุรกิจ (Business Continuity Management)
- การตรวจสอบการปฏิบัติตามกฎข้อบังคับต่างๆ (Monitoring and Compliance)
- การตรวจสอบเหตุการณ์ต่างที่เกิดขึ้น (Event Journaling)