Sigilli qualificati e avanzati conformi alla PSD2 per imprese, aziende e organizzazioni
Consegna digitale
Consegna su token fisico qualificato
Perché mi servono certificati qualificati per la conformità alla PSD2?
PSD2 (la direttiva su i servizi di pagamento rivisitata dall’Unione Europea per garantire piú sicurezza nelle transazioni online) i certificati digitali si utilizzano per identificare le istituzioni finanziarie, banche e PSP (Payment Service Provider) compresi, per verificare i ruoli su i quali sono autorizzati ad agire, inoltre per crittografare le comunicazioni e in alcuni casi, fornire sigilli a prova di alterazione per dati o transazioni.
A causa della sensibilità delle transazioni dei servizi finanziari, le norme tecniche di regolamentazione (Regulatory Technical Standards, RTS) della PSD2 precisano che possono essere utilizzati per l'identificazione dei PSP soltanto i certificati conformi a eIDAS emessi da un fornitore di servizi fiduciari qualificato (QTSP).
La PSD2 indica due tipi di certificati digitali per le comunicazioni sicure:
Qualified Website Authentication Certificate (QWAC, Certificato di autenticazione del sito web qualificato) utilizzato con il protocollo SSL/TLS, come quello definito in IETF RFC 5246 o IETF RFC 8446, per proteggere i dati nelle comunicazioni peer-to-peer e identificare chi controlla gli endpoint.
Qualified Certificate for Electronic Seals QSealC, Certificato qualificato per sigilli elettronici), ovvero sigilli elettronici utilizzati per proteggere dati o documenti utilizzando standard come PAdES, CAdES o XAdES dell'ETSI, e affermare la loro origine come provenienza da un'entità legale.
Come ottenere un certificato qualificato conforme alla PSD2
Una volta ordinato il certificato, si viene guidati attraverso le fasi di superamento dei controlli di convalida necessari per l'emissione del certificato. È molto importante comprendere i requisiti per la convalida, in modo che il certificato possa essere emesso il più rapidamente possibile.
Generalmente, ove necessario, la CSR viene inviata insieme all'ordine. La CSR è necessaria solo per i QWAC o i certificati che saranno installati dall'utente su un HSM o un altro dispositivo conforme con eIDAS
Dopo avere effettuato l'ordine, Sectigo invia una mail con il Contratto di sottoscrizione. Per accettare il contratto, seguire le istruzioni contenute nell'e-mail; dopodiché viene visualizzata la pagina "Completa la tua richiesta eIDAS", dove è possibile monitorare l'avanzamento dell'ordine. La pagina illustra tutte le fasi che Sectigo deve svolgere per poter emettere il certificato conforme a PSD2.
La persona che effettua l'ordine deve fornire una prova della propria identità.
La verifica facciale si utilizza per verificare l'identità. A tal fine è necessario compilare l'apposito modulo di verifica, che sarà fornito da Sectigo insieme alle istruzioni per la compilazione del modulo stesso. Il modulo compilato deve essere autenticato da un notaio e accompagnato da:
Viene verificato l'indirizzo di posta elettronica utilizzato per l'ordine.
L'utente riceverà un'e-mail di verifica della posta elettronica. Per confermare il proprio indirizzo di posta elettronica, è sufficiente seguire le istruzioni fornite nell'e-mail.
Per gli ordini effettuati per conto di un'organizzazione, è necessario dimostrare che il firmatario del contratto è un rappresentante autorizzato dell'organizzazione.
Nell'ambito dei controlli, Sectigo verifica il numero di telefono fornito con l'ordine. Si riceverà un'e-mail di istruzioni, e Sectigo richiamerà il numero telefonico che era stato verificato in quanto parte dell'identità dell'organizzazione.
La richiamata verifica quanto segue:
Per gli ordini che coinvolgono persone giuridiche, Sectigo verificherà l'esistenza fisica, legale e operativa dell'organizzazione.
Nell'ambito dei controlli, Sectigo verifica i dati relativi all'organizzazioni forniti con l'ordine, tra cui:
L'utente potrebbe essere tenuto a fornire ulteriore documentazione e a rispondere a chiamate telefoniche.
Per i certificati conformi alla PSD2, è necessaria anche un'ulteriore prova, e cioè il fatto che l'organizzazione sia registrata e approvata dalla relativa NCA (National Competent Authority).
