WebTrust

WebTrust^SM/TM – międzynarodowy standard określający zbiór zasad i kryteriów (dobrych praktyk) w zakresie szeroko pojętego bezpieczeństwa informacji w Internecie. Kryteria standardu WebTrust^SM/TM zostały określone przez American Institute of Certified Public Accountants(inne języki) (AICPA) oraz Canadian Institute of Chartered Accountants(inne języki) (CICA) w 1995 roku i nadal są rozwijane. Podmiot (urząd certyfikacji, CA) pozytywnie zaudytowany na zgodność z tym standardem uzyskuje wpis do list zaufanych na świecie centrów certyfikacji, np. we wszystkich popularnych przeglądarkach internetowych, czy też platformach usługowych i oprogramowaniu.

Pieczęć WebTrust^SM/TM[edytuj | edytuj kod]

Pieczęć WebTrust^SM/TM przyznawana jest przez AICPA/CICA zaufanym urzędom certyfikacyjnym (centrom certyfikacji) to jest tym, które pomyślnie przeszły specjalny audyt sześciu podstawowych obszarów (i są poddawane ustawicznym reaudytom okresowym):

Security (bezpieczeństwo)
Privacy (prywatność)
Business Practices/Transaction Integrity (praktyki biznesowe/integralność transakcji)
Availabity (dostępność)
Confidentiality (poufność)
Non-Repudiation (niezaprzeczalność)

Pieczęć WebTrust^SM/TM informuje użytkowników o spełnieniu przez centrum certyfikacji międzynarodowych wymogów dotyczących bezpieczeństwa internetowego, poufności przetwarzanych danych oraz bezpieczeństwa operacji związanych z komunikacją i handlem elektronicznym. Urząd certyfikacyjny z pieczęcią WebTrust^SM/TM jest uprawniony do weryfikacji wiarygodności internetowej według określonych kryteriów, np. poprzez sprawdzenie, czy konkretna witryna internetowa dysponuje oświadczeniem o zachowaniu poufności (opublikowane powiadomienie o sposobie wykorzystywania informacji osobistych) oraz czy użytkownik ma możliwość podjęcia decyzji o sposobie wykorzystywania udostępnionych witrynie informacji. Oznacza ona, że urząd certyfikacji świadczy usługi i wydaje certyfikaty zgodnie ze standardem WebTrust^SM/TM i jest urzędem godnym zaufania w obszarze, jaki obejmuje pieczęć.

W związku z różnymi wytycznymi audytowymi dla różnych obszarów działalności centrów certyfikacji są następujące pieczęcie WebTrust^SM/TM:

pieczęć WebTrust^SM/TM dla usług certyfikacyjnych zwykłych (niekwalifikowanych), tj. certyfikatów S/MIME.
pieczęć WebTrust^SM/TM SSL dla certyfikatów SSL
pieczęć WebTrust^{SM/TM Code Signing dla certyfikatów Code Signing oraz EV Code Signing (zabezpieczanie kodu)}
pieczęć WebTrust^SM/TM Extended Validation dla certyfikatów SSL – oznacza spełnienie przez centrum certyfikacji najwyższych wymagań, w szczególności w zakresie uwierzytelniania klientów. Warunkiem koniecznym uzyskania pieczęci tej kategorii jest również ubezpieczenie ogólne na kwotę co najmniej 2 miliony USD oraz ubezpieczenie odpowiedzialności zawodowej na kwotę 5 milionów USD.

PKI[edytuj | edytuj kod]

Certyfikaty PKI i usługi związane z podpisem elektronicznym, jeśli są wydawane zgodnie ze standardem WebTrustSM/TM, mają status zaufanych w skali światowej. Centra Certyfikacji, które pozytywnie przeszły adres WebTrust, mogą starać się o wpisanie na listy zaufanych wystawców certyfikatów przez przeglądarki internetowe (np. Google Chrome, Firefox) Zaufane centra certyfikacji (CC) posiadające pieczęć WebTrust^SM/TM dla certyfikatów SSL, a szczególnie WebTrust Extended Validation, są uprawnione do weryfikacji internetowej, np. poprzez sprawdzenie, czy dana strona internetowa dysponuje oświadczeniem o zachowaniu poufności oraz czy użytkownik ma możliwość podjęcia decyzji o sposobie wykorzystywania udostępnionych na niej informacji. Strona internetowa zatwierdzona przez zaufane CC ma prawo do umieszczenia wizerunku „pieczęci certyfikatu SSL zachowania poufności”.

WebTrust w Polsce[edytuj | edytuj kod]

Pieczęcie WebTrust w Polsce posiadają:

Asseco Data Systems, dawniej Unizeto Technologies S.A. (od 2002 r.) – świadcząca usługi certyfikacyjne związane z podpisem elektronicznym poprzez markę CERTUM (Certum Certification Authority). Posiada: pieczęć WebTrust dla zwykłych (niekwalifikowanych) usług certyfikacyjnych, pieczęć WebTrust Extended Validation dla certyfikatów SSL o randze EV, pieczęć WebTrust BR-SSL dla zwykłych certyfikatów SSL o randze DV i OV oraz pieczęć WebTrust Code Signing dla certyfikatów Code Signing i EV Code Signing^[1].

Krajowa Izba Rozliczeniowa S.A. (od 2019 r.) – świadcząca usługi certyfikacyjne przez markę Szafir. Posiada pieczęć WebTrust dla zwykłych (niekwalifikowanych) usług certyfikacyjnych oraz pieczęć WebTrust BR-SSL dla zwykłych certyfikatów SSL o randze DV i OV^[2].

Zobacz też[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

↑ ContiumC. SA ContiumC., » O WebTrust SM/TM [online] [dostęp 2020-01-22] (pol.).
↑ Podpis elektroniczny, kwalifikowany, e-podpis Szafir [online], www.elektronicznypodpis.pl [dostęp 2020-01-22] .

Linki zewnętrzne[edytuj | edytuj kod]

www.webtrust.org (ang.)
www.cert.webtrust.org (ang.)
The American Institute of Certified Public Accountants. aicpa.org. [zarchiwizowane z tego adresu (2010-10-27)]. (ang.).
Canadian Institute of Chartered Accountants (ang.)
CERTUM – Powszechne Centrum Certyfikacji

[1] ContiumC. SA ContiumC., » O WebTrust SM/TM [online] [dostęp 2020-01-22] (pol.).

[2] Podpis elektroniczny, kwalifikowany, e-podpis Szafir [online], www.elektronicznypodpis.pl [dostęp 2020-01-22] .

[1]

[2]

Pieczęć WebTrustSM/TM[edytuj | edytuj kod]