PRIMESIGN VDA CERTIFICATION PRACTICE STATEMENT FÜR QUALIFIZIERTE ZERTIFIKATE - PRIMESIGN TRUST CENTER
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
02. April 2020
PrimeSign VDA
Certification Practice Statement
für qualifizierte Zertifikate
Dr. Klaus Stranacher (verantwortlicher Autor)
DI Thomas Knall
DI Sandra Kreuzhuber
DI Christof Rath
Version 1.5.0
Dokument freigegeben durch:
Unterzeichner ppa. Mag. Siegfried
Gruber
Datum/Zeit-UTC 2020-04-02T09:57:32+02:00
Prüfinformation Diese Unterschrift ist gemäß EU Verordnung Nr.
910/2014 (eIDAS) der handschriftlichen Unterschrift
grundsätzlich rechtlich gleichgestellt.
PrimeSign GmbH, Wielandgasse 2, A –8010 Graz
tel. +43 316 25830, fax: +43 316 25830-11, IBAN: AT781200010004860457, BIC: BKAUATWW
mail: office@prime-sign.com, web: www.prime-sign.comFirmenadresse: PrimeSign GmbH Wielandgasse 2, A-8010 Graz, Austria Alle Rechte vorbehalten. Der Inhalt dieses Dokuments unterliegt dem Urheberrecht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen bedürfen der vorherigen schriftlichen Einwilligung durch PrimeSign GmbH. Jede Vervielfältigung ist nur zum persönlichen Gebrauch gestattet und nur unter der Bedingung, dass dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument selbst erhalten bleibt. Jede Veröffentlichung oder jede Übersetzung bedarf der vorherigen schriftlichen Einwilligung durch die PrimeSign GmbH. Gewerbliche Nutzung oder Nutzung zu Schulungszwecken durch Dritte bedarf ebenfalls der vorherigen schriftlichen Einwilligung durch PrimeSign GmbH. © PrimeSign GmbH. All rights reserved.
Inhaltsverzeichnis
Inhaltsverzeichnis ................................................................................................................................ 1
Dokumenthistorie ............................................................................................................................... 7
Einleitung ..................................................................................................................................... 9
1.1 Überblick ............................................................................................................................... 9
1.2 Name und Kennzeichnung des Dokuments .......................................................................... 9
1.3 PKI Teilnehmer ...................................................................................................................... 9
1.3.1 Zertifizierungsstellen .................................................................................................... 10
1.3.2 Registrierungsstellen.................................................................................................... 11
1.3.3 Widerrufs- und Aussetzungsdienst .............................................................................. 11
1.3.4 Zertifikatserwerber/in und Zertifikatsinhaber/in (Unterzeichner/in) ......................... 11
1.3.5 Sonstige Teilnehmer/innen .......................................................................................... 11
1.4 Zertifikatsverwendung ........................................................................................................ 11
1.5 Pflege des CPS ..................................................................................................................... 12
1.5.1 Zuständigkeit für das Dokument .................................................................................. 12
1.5.2 Kontaktinformation...................................................................................................... 12
1.5.3 Verantwortlicher für die Anerkennung anderer CPS ................................................... 12
1.6 Begriffe und Abkürzungen................................................................................................... 12
Verantwortlichkeiten für Veröffentlichungen und Verzeichnisse ............................................. 15
2.1 Verzeichnisse ....................................................................................................................... 15
2.1.1 Zentraler Verzeichnisdienst ......................................................................................... 15
2.1.2 Auskunftsdienst über den Zertifikatsstatus ................................................................. 15
2.2 Veröffentlichung von Informationen .................................................................................. 15
2.3 Häufigkeit von Veröffentlichungen ..................................................................................... 16
2.4 Zugriffskontrollen auf Verzeichnisse ................................................................................... 16
Identifizierung und Authentifizierung ........................................................................................ 17
v1.5.0 1 von 77 © PrimeSign GmbH3.1 Namensregeln ..................................................................................................................... 17
3.1.1 Natürliche Personen .................................................................................................... 17
3.1.2 Juristische Personen..................................................................................................... 18
3.1.3 Qualifizierte Zertifikate zu Testzwecken ...................................................................... 18
3.2 Initiale Überprüfung der Identität ....................................................................................... 19
3.2.1 Natürliche Personen .................................................................................................... 19
3.2.2 Juristische Personen..................................................................................................... 20
3.3 Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung ................. 20
3.4 Identifizierung und Authentifizierung von Anträgen auf Aussetzung und Widerruf .......... 22
3.4.1 Allgemeiner Ablauf von Aussetzung bzw. Widerruf .................................................... 23
Betriebsanforderungen .............................................................................................................. 26
4.1 Zertifikatsantrag und Registrierung .................................................................................... 26
4.2 Bearbeitung des Zertifikatsantrags ..................................................................................... 26
4.3 Zertifikatsannahme ............................................................................................................. 28
4.4 Verwendung des Schlüsselpaars und des Zertifikats .......................................................... 28
4.4.1 Nutzung durch den/die Zertifikatsinhaber/in .............................................................. 28
4.4.2 Nutzung durch sonstige Teilnehmer/innen ................................................................. 29
4.5 Zertifikatserneuerung.......................................................................................................... 29
4.6 Zertifikatserneuerung mit Schlüsselerneuerung................................................................. 29
4.7 Zertifikatsänderungen ......................................................................................................... 29
4.8 Widerruf und Aussetzung von Zertifikaten ......................................................................... 30
4.9 Abfragedienst zum Zertifikatsstatus ................................................................................... 31
4.10 Abmeldung vom Vertrauensdienst ..................................................................................... 33
4.11 Hinterlegung und Wiederherstellung von Schlüsseln ......................................................... 33
Nicht-technische Sicherheitsmaßnahmen ................................................................................. 34
5.1 Bauliche Sicherheitsmaßnahmen ........................................................................................ 34
5.1.1 Standorte...................................................................................................................... 34
v1.5.0 2 von 77 © PrimeSign GmbH5.1.2 Zutritt ........................................................................................................................... 35
5.1.3 Stromversorgung und Klimatisierung .......................................................................... 35
5.1.4 Wasserschäden ............................................................................................................ 36
5.1.5 Brandschutz.................................................................................................................. 36
5.1.6 Aufbewahrung von Datenträgern ................................................................................ 36
5.1.7 Abfallentsorgung .......................................................................................................... 36
5.1.8 Redundante Auslegung ................................................................................................ 36
5.1.9 Zweiter Standort im Rechenzentrum........................................................................... 36
5.2 Verfahrensvorschriften ....................................................................................................... 36
5.2.1 Rollen und Aufgaben .................................................................................................... 36
5.2.2 Rollentrennung ............................................................................................................ 40
5.2.3 Tätigkeiten ................................................................................................................... 41
5.3 Personelle Sicherheitsvorkehrungen .................................................................................. 43
5.3.1 Anforderungen an das Personal .................................................................................. 43
5.3.2 Sicherheitsüberprüfung des Personals ........................................................................ 44
5.3.3 Anforderungen an die Schulung .................................................................................. 44
5.3.4 Wiederholung der Schulung ........................................................................................ 44
5.3.5 Job-Rotationen ............................................................................................................. 45
5.3.6 Sanktionen bei unzulässigen Handlungen ................................................................... 45
5.3.7 Vertragsbedingungen mit dem Personal ..................................................................... 45
5.4 Protokollierung und Überwachungsmaßnahmen ............................................................... 45
5.4.1 Ereignisprotokolle ........................................................................................................ 45
5.5 Archivierung von Aufzeichnungen ...................................................................................... 46
5.6 Schlüsselwechsel (CA und Root-Schlüssel).......................................................................... 46
5.7 Kompromittierung und Notfallplan (Desaster Recovery) ................................................... 47
5.7.1 Monitoring ................................................................................................................... 47
v1.5.0 3 von 77 © PrimeSign GmbH5.7.2 Benachrichtigungen ..................................................................................................... 47
5.7.3 Schwachstellen............................................................................................................. 47
5.7.4 Business Continuity ...................................................................................................... 47
5.7.5 Datensicherung ............................................................................................................ 48
5.7.6 Kompromittierung von Schlüsseln ............................................................................... 48
5.7.7 Kompromittierung von Algorithmen ........................................................................... 48
5.8 Einstellung der Tätigkeit ...................................................................................................... 48
Technische Sicherheitsmaßnahmen .......................................................................................... 49
6.1 Generierung und Installation von Schlüsselpaaren ............................................................ 49
6.1.1 CA-Schlüssel ................................................................................................................. 49
6.1.2 Schlüssel für Endbenutzerzertifikate ........................................................................... 49
6.2 Schutz der privaten Schlüssel .............................................................................................. 50
6.2.1 CA-Schlüssel ................................................................................................................. 50
6.2.2 Schlüssel für Endbenutzerzertifikate ........................................................................... 51
6.3 Andere Aspekte des Schlüsselpaar-Managements ............................................................. 51
6.4 Aktivierungsdaten ............................................................................................................... 52
6.4.1 CA-Schlüssel ................................................................................................................. 52
6.4.2 Schlüssel für Endbenutzerzertifikate ........................................................................... 52
6.5 Sicherheitsvorkehrungen in den Computersystemen ........................................................ 53
6.5.1 Ausstellung von Zertifikaten ........................................................................................ 54
6.5.2 Verwaltung von Zertifikaten ........................................................................................ 54
6.5.3 Widerrufsstatus............................................................................................................ 55
6.6 Sicherheitsvorkehrungen während der Lebensdauer ......................................................... 55
6.7 Maßnahmen für die Netzwerksicherheit ............................................................................ 56
6.8 Zeitstempel .......................................................................................................................... 57
Profile für Zertifikate, Sperrlisten und Statusabfragedienst ...................................................... 58
v1.5.0 4 von 77 © PrimeSign GmbH7.1 Zertifikatsprofile .................................................................................................................. 58
7.2 Sperrlistenprofile (CRL Profile) ............................................................................................ 64
7.3 Profile für Statusabfragedienst (OCSP Profile) .................................................................... 66
Überprüfungen und andere Bewertungen ................................................................................ 68
8.1 Konformität ......................................................................................................................... 68
8.2 Audits................................................................................................................................... 68
8.2.1 Generelle Informationen und Aspekte des Audits ...................................................... 68
8.2.2 Häufigkeit von Audits ................................................................................................... 69
8.2.3 Identität des Gutachters .............................................................................................. 69
8.2.4 Handlungen bei negativem Ergebnis ........................................................................... 69
8.2.5 Bekanntgabe der Ergebnisse........................................................................................ 70
Sonstige finanzielle und rechtliche Regelungen ........................................................................ 71
9.1 Gebühren............................................................................................................................. 71
9.2 Finanzielle Verantwortung .................................................................................................. 71
9.3 Vertraulichkeit und Geschäftsdaten ................................................................................... 71
9.4 Datenschutz und Personendaten ........................................................................................ 71
9.5 Gewerbliche Schutz- und Urheberrechte............................................................................ 72
9.6 Gewährleistungsansprüche und Garantien......................................................................... 72
9.7 Haftungsausschlüsse ........................................................................................................... 72
9.8 Haftungsbeschränkungen ................................................................................................... 72
9.9 Schadenersatz ..................................................................................................................... 73
9.10 Gültigkeitsdauer des CPS und Gültigkeitsende ................................................................... 73
9.11 Kommunikation ................................................................................................................... 73
9.12 Nachträge ............................................................................................................................ 73
9.13 Bestimmungen zur Schlichtung und Konfliktlösung............................................................ 73
9.14 Gerichtsstand ...................................................................................................................... 73
9.15 Einhaltung geltenden Rechts............................................................................................... 73
9.16 Sonstige Bestimmungen ...................................................................................................... 74
v1.5.0 5 von 77 © PrimeSign GmbH9.16.1 Vollständigkeitserklärung ............................................................................................ 74
9.16.2 Salvatorische Klausel .................................................................................................... 74
9.16.3 Höhere Gewalt ............................................................................................................. 74
9.16.4 Rechtsübertragung....................................................................................................... 74
9.17 Andere Bestimmungen........................................................................................................ 74
9.17.1 Diskriminierung und Zugänglichkeit ............................................................................ 74
9.17.2 Erfüllungsgehilfen ........................................................................................................ 74
9.17.3 Rollenteilung ................................................................................................................ 74
Referenzen ................................................................................................................................. 75
v1.5.0 6 von 77 © PrimeSign GmbHDokumenthistorie
TABELLE 1: DOKUMENTHISTORIE
Version Datum Autor Änderungen Status
0.1.0 24.05.2016 Thomas Knall, Initialversion Entwurf
Sandra Kreuzhuber,
Klaus Stranacher
0.2.0 01.06.2016 Jan Herold Qualitätssicherung und Entwurf
Kommentare
0.3.0 08.06.2016 Thomas Knall, Überarbeitungen und Entwurf
Sandra Kreuzhuber, Anpassungen
Klaus Stranacher
0.4.0 15.06.2016 Siegfried Gruber Qualitätssicherung und Entwurf
Kommentare
0.5.0 17.06.2016 Thomas Knall, Überarbeitungen und Finaler
Sandra Kreuzhuber, Anpassungen Entwurf
Klaus Stranacher
1.0.0 20.06.2016 Thomas Rössler Überarbeitung, Freigabe und Veröffentlicht
Veröffentlichung
1.0.1 26.08.2016 Klaus Stranacher, Editorielle Überarbeitung, Entwurf
Thomas Rössler,
Sandra Kreuzhuber
1.1.0 01.06.2017 Christof Rath, Anpassungen zur Veröffentlicht
Thomas Rössler Konformitätsbewertung
1.2.0 21.11.2017 Christof Rath, Editorielle Anpassungen und Veröffentlicht
Klaus Stranacher Präzisierungen hinsichtlich
QSCD auf Basis einer
Fernsignatur-Lösung (Remote
Signing),
Anpassungen im Rollenmodell,
Freigabe und Veröffentlichung
1.3.0 30.04.2019 Klaus Stranacher, Anpassungen zu: Nicht
Christof Rath, - Präzisierung Registrierung-, veröffentlicht
Siegfried Gruber Aussetzungs- und
Widerrufsprozess Version
- Geänderte Begrifflichkeiten übermittelt
(z.B. Sperre=Aussetzung) an A-SIT zur
- Rollenmodell, Tätigkeiten und Konformitäts
Stellvertretung bewertung
- Qualifizierte Zertifikate zu
Testzwecken
- Zertifikatsprofil
- Zweiter Standort im
Rechenzentrum
v1.5.0 7 von 77 © PrimeSign GmbH- Ausstellung qualifizierte
Zertifikate für elektronische
Siegel (ohne QSEE)
1.3.1 26.06.2019 Christof Rath, Klaus Anpassung der Beschreibung Veröffentlicht
Stranacher der Zertifikatserweiterungen
1.4.0 19.12.2019 Klaus Stranacher Änderung der Veröffentlicht
Rollenbezeichnung CEO auf
Geschäftsführung
1.5.0 02.04.2020 Klaus Stranacher Anpassungen zu: Veröffentlicht
- Aktualisierung
Sicherheitsvorkehrungen
Stichprobenprüfung
gesicherter Daten bei
Überprüfung des Notfallplans
(anstatt im internen Audit)
- Aktualisierung des
Zertifikatsprofils (Einführung
Policy OID 1.2.40.0.39.3.1.2,
Entfernung Policy OID
1.2.40.0.39.3.1.1)
v1.5.0 8 von 77 © PrimeSign GmbHEinleitung
1.1 Überblick
Das vorliegende Dokument repräsentiert das Certification Practice Statement (CPS) der von der
PrimeSign GmbH betriebenen (qualifizierten) Public Key Infrastruktur (PKI).
Anmerkung: Das vorliegende CPS beinhaltet auch sämtliche ergänzenden Informationen aus der
entsprechenden CP, um das vorliegende Dokument möglichst eigenständig und in sich geschlossen
zu halten.
Die PrimeSign GmbH betreibt als qualifizierter Vertrauensdiensteanbieter – im Folgenden VDA
genannt – einen Vertrauensdienst für die Ausstellung von qualifizierten Zertifikaten zur Nutzung mit
(qualifizierten) elektronischen Signaturen und (qualifizierten) elektronischen Siegeln.
Die Gliederung dieses Dokuments orientiert sich an dem internationalen Standard für
Zertifizierungsrichtlinien [RFC 3647] der Internet Society und erfüllt die entsprechenden
Anforderungen folgender Standards des Europäischen Instituts für Telekommunikationsnormen:
- ETSI EN 319 411-1 V1.2.2 (2018-04): Electronic Signatures and Infrastructures (ESI); Policy
and security requirements for Trust Service Providers issuing certificates; Part 1: General
requirements [ETSI EN 319 411-1]
- ETSI EN 319 411-2 V2.2.2 (2018-04): Electronic Signatures and Infrastructures (ESI); Policy
and security requirements for Trust Service Providers issuing certificates; Part 2:
Requirements for trust service providers issuing [ETSI EN 319 411-2]
1.2 Name und Kennzeichnung des Dokuments
Name der Richtlinie: PrimeSign Certification Practice Statement für qualifizierte Zertifikate
zur Nutzung mit qualifizierten Signaturen und (qualifizierten) Siegeln.
Version: 1.5.0
Datum: 02.04.2020
Object Identifier: 1.2.40.0.39.2.2.1.1.5.0
1.2.40.0.39(PrimeSign).2(Dokumentation).2(CPS für qualifizierte
Zertifikate).1(CA spezifisch).1.5.0(vorliegende Version)
Die OID 1.2.040.0.39 ist auf die Firma PrimeSign GmbH registriert.
1.3 PKI Teilnehmer
In diesem Abschnitt werden die PKI Teilnehmer und ihre Aufgaben skizziert. Detaillierte
Informationen können in Folge den weiteren Abschnitten entnommen werden.
v1.5.0 9 von 77 © PrimeSign GmbH1.3.1 Zertifizierungsstellen
Die Zertifikatshierarchie des VDA für qualifizierte Zertifikate ist in drei Ebenen gegliedert. Die
oberste Ebene bildet die Qualifizierte Root CA. Davon abgeleitet werden in der zweiten Ebene
entsprechende qualifizierte CAs, die in weitere Folge (und somit in Ebene 3) die qualifizierten
Endanwenderzertifikate ausstellen. Abbildung 1 bietet eine schematische, exemplarische
Darstellung der Zertifikatshierarchie.
ABBILDUNG 1: ZERTIFIKATSHIERARCHIE
Das Root-Zertifikat sowie die darunterliegenden CA-Zertifikate werden vom VDA ausgestellt. In
dieser Zertifikatshierarchie werden lediglich qualifizierte Endanwenderzertifikate ausgestellt.
Der VDA stellt qualifizierte Zertifikate für elektronische Signaturen an natürliche Personen sowie
qualifizierte Zertifikate für elektronische Siegel an juristische Personen aus. Die Unterscheidung
zwischen einem qualifizierten Zertifikat für elektronische Signaturen bzw. elektronische Siegel
erfolgt durch Verwendung der Zertifikatserweiterung QCStatement. Für nähere Informationen zum
verwendeten Zertifikatsprofil siehe Abschnitt 7.1. Soweit diese zur Ausstellung qualifizierter
Zertifikate verwendet werden, kommen die Bestimmungen dieses Dokuments zur Anwendung.
Der VDA behält es sich vor, weitere qualifizierte CA-Zertifikate (d.h. weitere CAs zur Ausstellung von
qualifizierten Endanwenderzertifikaten) je nach Bedarf für spezielle Nutzungsszenarien oder für
geschlossene Organisationen auszustellen.
Weiters steht es dem VDA frei, bei Bedarf zusätzlich fortgeschrittene Zertifikate auszustellen, jedoch
erfolgt dies in einer weiteren Zertifikatshierarchie mit einem eigenen Root-Zertifikat.
v1.5.0 10 von 77 © PrimeSign GmbH1.3.2 Registrierungsstellen In der Registrierungsstelle (RA) wird die Registrierung von Zertifikatserwerbern/innen durch einen so genannten Registration Officer (RO) durchgeführt. Alternative Registrierungsmöglichkeiten können, sofern sie dieselbe Qualität hinsichtlich der Identifizierung des/der Zertifikatserwerbers/in und der Überprüfung der Daten des/der Zertifikaterwerbers/in ermöglichen, zusätzlich angeboten werden. Für die Registrierung sind dabei insbesondere folgende Tätigkeiten notwendig: sichere und eindeutige Identifizierung der Zertifikatserwerber/innen, Überprüfung und Bearbeitung der Daten des/der Zertifikatserwerbers/in sowie schließlich die Weiterleitung dieser geprüften Daten an die entsprechende Zertifizierungsstelle. 1.3.3 Widerrufs- und Aussetzungsdienst Zertifikatsinhaber/innen können jederzeit an den VDA einen Antrag auf Widerruf oder Aussetzung ihres Zertifikates stellen. Dies erfolgt über den Widerrufs- und Aussetzungsdienst. Abschnitt 3.4 und 4.8 enthalten nähere Informationen zum Ablauf eines Widerrufs bzw. einer Aussetzung. 1.3.4 Zertifikatserwerber/in und Zertifikatsinhaber/in (Unterzeichner/in) Anträge auf Ausstellung eines Zertifikates können sowohl von natürlichen Personen wie auch von juristischen Personen durch eine vertretungsbefugte natürliche Person eingebracht werden. Zertifikatsinhaber/in ist in Folge jene Person, auf die das Zertifikat ausgestellt ist. Der/die Zertifikatsinhaber/in ist jene Person, die eine qualifizierte elektronische Signatur oder ein (qualifiziertes) elektronisches Siegel aufbringt. 1.3.5 Sonstige Teilnehmer/innen Sonstige Teilnehmer/innen sind vor allem die Empfänger/innen bzw. Nutzer/innen eines Zertifikats. Sie vertrauen dabei auf die angegebenen Daten im Zertifikat, die sie beispielsweise im Zuge der Überprüfung der Gültigkeit einer qualifizierten elektronischen Signatur oder eines (qualifizierten) elektronischen Siegels benötigen. 1.4 Zertifikatsverwendung Mit der Ausstellung des qualifizierten Zertifikats basierend auf dieser Richtlinie wird von der Zertifizierungsstelle der Schlüssel des/der Unterzeichners/in zertifiziert. Dieser Schlüssel darf ausschließlich für das Erstellen von qualifizierten elektronischen Signaturen oder (qualifizierten) elektronischen Siegeln genutzt werden. Elektronische Signaturen, die auf einem unter dieser Richtlinie ausgestellten Zertifikat für elektronische Signaturen basieren und mit einer qualifizierten Signaturerstellungseinheit erstellt wurden, sind qualifizierte elektronische Signaturen gemäß Artikel 3 Z 12 Verordnung (EU) 910/2014 [EIDAS]. v1.5.0 11 von 77 © PrimeSign GmbH
Elektronische Siegel, die auf einem unter dieser Richtlinie ausgestellten Zertifikat für elektronische
Siegel basieren und mit einer qualifizierten Siegelerstellungseinheit erstellt wurden, sind
qualifizierte elektronische Siegel gemäß Artikel 3 Z 27 Verordnung (EU) 910/2014 [EIDAS].
1.5 Pflege des CPS
1.5.1 Zuständigkeit für das Dokument
Dieses Dokument wurde von der PrimeSign GmbH erstellt und herausgegeben. Die PrimeSign GmbH
ist für die Pflege, Verwaltung und Organisation des Dokuments verantwortlich.
1.5.2 Kontaktinformation
Die Kontaktaufnahme kann über folgende Wege erfolgen:
PrimeSign GmbH
Wielandgasse 2, 8010 Graz
Niederlassung Wien:
PrimeSign GmbH, Franzosengraben 8, 1030 Wien
Telefon: +43 316 25 830
Web: https://prime-sign.com
Email: office@prime-sign.com
1.5.3 Verantwortlicher für die Anerkennung anderer CPS
Die PrimeSign GmbH entscheidet über die Anerkennung andere CPS.
1.6 Begriffe und Abkürzungen
TABELLE 2: BEGRIFFE UND ABKÜRZUNGEN
AGB Allgemeine Geschäftsbedingungen der Firma PrimeSign für
qualifizierte Zertifikate
AO Audit Officer
ASN.1 Abstract Syntax Notation One
BKA Bundeskanzleramt
CA Certification Authority (Zertifizierungsstelle)
CARL Widerrufsliste für CA-Zertifikate
CEO Chief Executive Officer
CP Certificate Policy
v1.5.0 12 von 77 © PrimeSign GmbHCPS Certification Practice Statement
CRL Certificate Revocation List
DER Distinguished Encoding Rules
eIDAS Verordnung (EU) 910/2014
EAL Evaluation Assurance Level
ETSI European Telecommunications Standards Institute
(Europäisches Institut für Telekommunikationsnormen)
FIPS Federal Information Processing Standard
GMT Greenwich Mean Time
HSM Hardware Security Module
ISO International Organization for Standardization
LCO Legal Compliance Officer
LCRO Liaison and Chief Registration Officer
LDAP Lightweight Directory Access Protocol
OCSP Online Certificate Status Protocol
OID Object Identifier
PKI Public Key Infrastruktur
PO Policy Officer
(Q)SEE (Q)ualifizierte Signatur- und Siegelerstellungseinheit
Remote Signing Elektronische Fernsignatur gemäß [EIDAS]
RA Registrierungsstelle
RO Registration Officer
RVO Revocation Officer
SA System Administrator
SIR SIR definiert eine Schnittstelle bzw. einen Prozess, welche
elektronische Identitätsnachweise ausgewählter, zuverlässiger
Quellen des öffentlichen Bereichs und ausgewählter
v1.5.0 13 von 77 © PrimeSign GmbHRegistrierungsstellen sammelt und diese dem VDA für die
Ausstellung eines qualifizierten Zertifikats über eine definierte Web-
Service Schnittstelle zur Verfügung stellt.
SO Security Officer
VDA Qualifizierter Vertrauensdiensteanbieter PrimeSign GmbH
VPN Virtual Private Network
v1.5.0 14 von 77 © PrimeSign GmbHVerantwortlichkeiten für Veröffentlichungen und Verzeichnisse
2.1 Verzeichnisse
2.1.1 Zentraler Verzeichnisdienst
Es wird ein zentraler Verzeichnisdienst betrieben, in dem Zertifikate veröffentlicht sind. Der
Verzeichnisdienst kann dabei via LDAP abgefragt werden und ist unter folgender URL öffentlich
erreichbar:
- ldap://ldap.tc.prime-sign.com/
2.1.2 Auskunftsdienst über den Zertifikatsstatus
Statusinformationen zu den herausgegebenen Zertifikaten können via CRL oder OCSP abgefragt
werden. Diese Auskunftsdienste sind über folgende URLs erreichbar:
- OCSP: http://ocsp.tc.prime-sign.com/ocsp
- Verteilungspunkt für die (CRLs): http://tc.prime-sign.com/crls
2.2 Veröffentlichung von Informationen
Sämtlichen öffentlichen Informationen werden auf der Webseite des VDA unter folgender Adresse
veröffentlicht:
- http://tc.prime-sign.com
Zu diesen Informationen zählen insbesondere:
- Certificate Policy (CP)
- Certification Practice Statement (CPS)
- Root-Zertifikat
- CA-Zertifikat
- Certificate Revocation Lists (CRLs)
- Allgemeine Geschäftsbedingungen der Firma PrimeSign für qualifizierte Zertifikate (inkl.
Informationen zu Haftung, Haftungsbeschränkungen und Schadenersatzansprüche)
- Unterrichtung zur Zertifikatsnutzung
- Allgemeiner Signaturvertrag
Informationen zu den aktuellen Möglichkeiten zum Widerruf bzw. zur Aussetzung eines Zertifikats
sind auf der Webseite des VDA zu finden:
- https://www.prime-sign.com
v1.5.0 15 von 77 © PrimeSign GmbHDas Dokument Technisches Sicherheitskonzept, Systembeschreibung und Risikobewertung [TP], das die Grundlage für das vorliegende Dokument bildet, ist vertraulich und ist daher nicht öffentlich zugänglich. 2.3 Häufigkeit von Veröffentlichungen Die Veröffentlichung des CPS erfolgt immer unmittelbar nach Erstellung bzw. Freigabe des Dokuments. Die Veröffentlichung eines Zertifikats erfolgt gemäß Artikel 24 Abs 2 lit f eIDAS-VO nur nach Zustimmung des/der Zertifikatsinhabers/in. Jede Änderung des Zertifikatsstatus wird ebenfalls unverzüglich in den Statusinformationen veröffentlicht. 2.4 Zugriffskontrollen auf Verzeichnisse Der Zugriff auf den zentralen Verzeichnisdienst ist nur lesend möglich. Bei Listenabfragen kann eine bestimmte Mengenbegrenzung erfolgen. Der Zugriff auf den Auskunftsdienst über den Zertifikatsstatus ist ebenfalls nur lesend, aber ansonsten unbeschränkt möglich. v1.5.0 16 von 77 © PrimeSign GmbH
Identifizierung und Authentifizierung
3.1 Namensregeln
3.1.1 Natürliche Personen
Für die Ausstellung von Zertifikaten an natürliche Personen wird der Name des/der
Zertifikatsinhabers/in durch folgende Attribute im Feld subject dargestellt:
Vorgeschriebene Attribute:
- countryName (C) – Land gemäß [ISO 3166]
- givenName (GN) – Vorname der natürlichen Person
- surname (SN) – Familienname der natürlichen Person
- pseudonym (PN) (optional, nur erlaubt falls kein givenName und surname im Zertifikat
angegeben)
- commonName (CN) – Gebräuchlicher Name (Details untenstehend)
- serialNumber – Seriennummer, welche die Eindeutigkeit des Subjektstrings (dargestellt als
Subject Distinguished Name) innerhalb der CA sicherstellt. Die im Feld subject enthaltene
Seriennummer ist zufällig generiert und nicht notwendigerweise ident zur Seriennummer
des Zertifikats. Zwei oder mehrere Zertifikate desselben/derselben Zertifikatsinhabers/in
weisen nicht dieselbe Seriennummer im Zertifikat auf.
Optionale Attribute:
- organizationName (O) – Offizielle Bezeichnung der Organisation, der der/die
Zertifikatsinhaber/in angehört
- organizationalUnit (OU) – Organisationseinheit innerhalb der Organisation, der der/die
Zertifikatsinhaber/in angehört
- organizationIdentifier – Registernummer der Organisation gemäß der amtlichen Eintragung,
z.B. Firmenbuchnummer, Vereinsregisternummer
Das Attribut countryName gibt das Land an, das das Identifikationsdokument ausgestellt hat, mit
dem der/die Zertifikatsinhaber/in identifiziert wird.
Das Attribut commonName besteht aus den Attributen surname und givenName des/der
Zertifikatsinhabers/in oder dem angegebenen Pseudonym (natürliche Personen ohne Pseudonym:
“Vorname Familienname”, optional mit vorangestelltem Titel; natürliche Personen mit Pseudonym:
“Pseudonym”). Die Schreibweise des Namens der natürlichen Person in den Attributen surname und
givenName muss mit der Schreibweise im für die Identifizierung verwendeten
Identifikationsdokument übereinstimmen. Wird anstatt des Namens im Zertifikat ein Pseudonym
verwendet, so darf dieses weder anstößig sein noch darf eine Verwechslungsgefahr mit Namen oder
Kennzeichnen (z.B. Markennamen) bestehen.
v1.5.0 17 von 77 © PrimeSign GmbHFür die Kodierung von Namensbestandteilen wird der Zeichensatz UTF-8 unterstützt.
Die Seriennummer wird als positive Integer-Zahl dargestellt und von der CA eindeutig für jeden
Subject Distinguished Name zugewiesen.
Optional kann der/die Zertifikatsinhaber/in im Attribut organizationName die offizielle Bezeichnung
der Organisation, der der/die Zertifikatsinhaber/in angehört angeben. Das Attribut
organizationalUnit beschreibt die Organisationseinheit (beispielsweise Abteilung oder Bereich) der
angegebenen Organisation. Die Zugehörigkeit zur Organisation wird dabei vor Aufnahme ins
Zertifikat gemäß Abschnitt 3.2.1 geprüft. Im Rahmen dieser Prüfung ist eine Bestätigung einer für
die jeweilige Organisation vertretungsbefugten Person vorzulegen, dass der/die
Zertifikatserwerber/in eine Zuordnung zur Organisation im Zertifikat eintragen darf.
Falls erwünscht, kann die E-Mail-Adresse des/der Zertifikatsinhabers/in das Zertifikat aufgenommen
werden. Die E-Mail-Adresse wird in der optionalen Zertifikatserweiterung Subject Alternative Name
dargestellt. Die E-Mail-Adresse darf nur ins Zertifikat aufgenommen werden, falls der/die
Zertifikatsinhaber/in im Zuge der Registrierung den Zugriff auf die angegebene E-Mail-Adresse
bestätigt hat.
3.1.2 Juristische Personen
Für die Ausstellung von Zertifikaten an juristische Personen wird der Name des/der
Zertifikatsinhabers/in durch folgende Attribute im Feld subject dargestellt:
Vorgeschriebene Attribute:
- countryName (C) – Sitz der juristischen Person (beispielsweise des Unternehmens oder des
Vereins)
- organizationName (O) – vollständig registrierter Name der juristischen Person
- organizationIdentifier1 – Registernummer der Organisation gemäß der amtlichen
Eintragung, z.B. Firmenbuchnummer, Vereinsregisternummer
- commonName (CN) – Offizielle Bezeichnung der Organisation (Unternehmen, Verein,
Behörde etc.) oder gegebenenfalls eine sinnvolle Abkürzung
- serialNumber – Seriennummer, welche die Eindeutigkeit des Subjektstrings (dargestellt als
Subject Distinguished Name) innerhalb der CA sicherstellt. Die im Feld subject enthaltene
Seriennummer ist nicht ident zur Seriennummer des Zertifikats.
3.1.3 Qualifizierte Zertifikate zu Testzwecken
Die Ausstellung von qualifizierten Zertifikaten zur Durchführung von Tests ist ohne Identitäts-
prüfung möglich und muss folgende Anforderungen zu deren eindeutigen Erkennung erfüllen:
1Das Attribut organizationIdentifier wird als Datentyp SemanticsIdentifier im Zertifikat dargestellt.
Siehe ETSI 319 412-1 für die Kodierungsregeln.
v1.5.0 18 von 77 © PrimeSign GmbH- Natürlichen Personen
o Vor- und Nachname müssen mit der Zeichenfolge „XXXTESTXXX_“ beginnen und
betrifft die Attribute commonName, surname und givenName.
o Bei einer optionale Firmenzugehörigkeit muss die Bezeichnung der Organisation mit
der Zeichenfolge „XXXTESTXXX_“ beginnen und betrifft das Attribut
organizationName.
- Juristische Person
o Die Bezeichnung der Organisation muss mit der Zeichenfolge „XXXTESTXXX_“
beginnen und betrifft das Attribut commonName.
o Der registrierte Name der juristischen Person muss mit der Zeichenfolge
„XXXTESTXXX_“ beginnen und betrifft das Attribut organizationName
3.2 Initiale Überprüfung der Identität
3.2.1 Natürliche Personen
Bei der Antragsstellung muss der/die Zertifikatserwerber/in seine/ihre Identität persönlich
gegenüber einem Registration Officer (RO) unter Verwendung eines gültigen, amtlichen
Lichtbildausweises nachweisen.
Eine persönliche Selbst-Identifikation und somit auch Selbst-Ausstellung eines Zertifikats auf Basis
der Überprüfung eines Lichtbildausweises eines RO für sich selbst ist nicht zulässig. Eine derartige
Selbst-Identifikation ist ausschließlich zu Testzwecken entsprechend Abschnitt 3.1.3 zulässig.
Bei Bedarf und nach technischer Möglichkeit steht dem/der Zertifikatserwerber/in die Möglichkeit
zur Verfügung seine/ihre Identität mittels sicherer Distanz-Identifikationsverfahren (gemäß Artikel
24 Abs 1 lit b bzw. lit d Verordnung (EU) 910/2014 [EIDAS]), bei denen der/die Zertifikatswerber/in
nicht vor Ort bei einem Registration Officer erscheinen muss, nachzuweisen. Alternativen, vor allem
elektronische Distanzverfahren, sind möglich und können abhängig von deren technischer
Machbarkeit und rechtlicher Zulässigkeit (vor dem Hintergrund des vorliegenden Dokuments) vom
VDA eingerichtet und angeboten werden.
Zusätzlich steht die Möglichkeit zur Verfügung, ein neues qualifiziertes Zertifikat mittels bereits
vorhandener eindeutiger starker elektronischer Identität (gemäß Artikel 24 Abs 1 lit c iVm Art 24
Abs 1 lit a und b Verordnung (EU) 910/2014 [EIDAS]; Sicherheitsniveau substantiell oder hoch) bzw.
mit einer bestehenden qualifizierten Signatur oder mit geeigneten anderen zulässigen
elektronischen Nachweisen (etwa behördlichen Identitätsbestätigungen, etc.), die über eine dem
Stand der Technik und den Vorgaben dieses Dokumentes entsprechende Umsetzung des SIR-
Verfahrens erbracht werden, zu beantragen.
Ist der/die Zertifikatserwerber/in eine natürliche Person müssen insbesondere auch folgende
Angaben überprüft werden:
v1.5.0 19 von 77 © PrimeSign GmbH- Vollständiger Name
- Geburtsdatum
Auch bei Zertifikaten, die anstatt des Namens ein Pseudonym enthalten, wird durch den VDA die
reale Identität des/der Zertifikatserwerbers/in, insbesondere dessen/deren vollständiger Name,
überprüft und festgehalten.
Bei Angabe von Organisationsdaten im Zertifikat, muss der/die Zertifikatserwerber/in die
Einwilligung der Organisation bzw. die Autorisierung der Organisation durch Vorlage geeigneter
Dokumente nachweisen. Folgende Daten bzw. Dokumente müssen dazu vorgebracht und überprüft
werden:
- Vollständiger Name und Rechtsform der assoziierten juristischen Person
- Registereintragung zur assoziierten juristischen Person (z.B. Firmenbucheintragung)
- Sitz der Organisation
- Bestätigung der Organisationszugehörigkeit
- Autorisierung durch die vertretungsbefugten Organe der Organisation, die bestätigen, dass
die antragstellende natürliche Person im Zertifikat eine Zuordnung zur Organisation
eintragen darf
3.2.2 Juristische Personen
Im Falle einer Zertifikatsantragsstellung für eine juristische Person muss der/die Vertreter/in der
juristischen Person seine diesbezügliche Berechtigung nachweisen und sich gegenüber dem VDA
authentifizieren (siehe Anforderungen aus Abschnitt 3.2.1 für die Authentifizierung von natürlichen
Personen). Weiters werden alle im Zertifikat anzugebenden Daten der juristischen Person
überprüft. Insbesondere müssen folgende Daten der juristischen Person vorgelegt und überprüft
werden:
- Vollständiger Name der juristischen Person
- Registereintragung der juristischen Person (z.B. Firmenbuch)
- Falls im Zertifikat eine Assoziierung mit einer weiteren Organisation vorgenommen werden
soll, gelten dieselben Anforderungen wie für die Assoziierung von natürlichen Personen mit
einer Organisation (siehe Abschnitt 3.2.1).
3.3 Identifizierung und Authentifizierung von Anträgen auf
Schlüsselerneuerung
Die Schlüsselerneuerung bezeichnet die erneute Generierung von Zertifikaten und Schlüsseln für
dasselbe Subject, beispielsweise nach Ablauf der Gültigkeit, nach einem Widerruf oder bei Änderung
von Daten des/der Zertifikatsinhabers/in. Eine Rezertifizierung auf Basis des gleichen
Schlüsselmaterials wird vom VDA nicht unterstützt.
v1.5.0 20 von 77 © PrimeSign GmbHFür die Neuausstellung kann, falls sich keine der im Zertifikat angegebenen Daten geändert haben,
eine Identifizierung und Authentifizierung auf Basis eines bereits bestehenden gültigen Zertifikats
erfolgen, jedoch nur falls dieses weder ausgesetzt noch widerrufen ist. Bei Änderung von Daten
erfolgt in jedem Fall die Identifizierung und Authentifizierung äquivalent zur Erstausstellung.
Im Zuge der Neuausstellung muss der/die Zertifikatserwerber/in sämtliche vertragliche
Bedingungen in deren aktuellen Fassung erneut akzeptieren.
ABBILDUNG 2 ABLAUF AUSSETZUNG BZW. WIDERRUF
v1.5.0 21 von 77 © PrimeSign GmbH3.4 Identifizierung und Authentifizierung von Anträgen auf Aussetzung und
Widerruf
Zertifikatsinhaber/in oder berechtigte Dritte können Zertifikate aussetzen oder widerrufen. Ein
Widerruf ist permanent und kann nicht aufgehoben werden. Eine Aussetzung kann hingegen
innerhalb von zehn Tagen wieder aufgehoben werden. Wird die Aussetzung nicht innerhalb dieser
Frist aufgehoben geht diese automatisch in einen Widerruf über.
Prinzipiell können vom VDA folgende Möglichkeiten zur Beantragung einer Aussetzung bzw. eines
Widerrufs zur Verfügung gestellt werden:
• Aussetzung bzw. Widerruf über den telefonischen Widerrufs- und Aussetzungsdienst,
• persönlich beim RO,
• über eine Webschnittstelle,
• sonstige Distanzverfahren (z.B. auf Basis einer elektronischen Identität, einem Post-
Identifikationsverfahren oder anderen schriftlichen Verfahren in Papierform)
Die aktuell angebotenen Möglichkeiten zur Beantragung einer Aussetzung bzw. eines Widerrufs sind
auf der Webseite des VDA zu finden.
Je nach gewählter Möglichkeit bestehen unterschiedliche Anforderungen an die Identifizierung und
Authentifizierung des Antragstellers.
Ein Widerruf bzw. eine Aussetzung eines Zertifikats ist mit Kenntnis des Widerrufskennworts
jederzeit möglich. Dies gilt auch ohne Kenntnis des Widerrufskennworts unter folgenden
Bedingungen:
a. Eine Aussetzung durch den/die Zertifikatsinhaber/in oder berechtigte Dritte ohne
Widerrufskennwort ist auf Basis einer erfolgreichen Plausibilisierung seiner/ihrer Identität
gegenüber dem VDA möglich
b. Ein Widerruf durch den/die Zertifikatsinhaber/in oder berechtigte Dritte ohne
Widerrufskennwort ist möglich, wenn er/sie sich persönlich oder über ein Distanzverfahren
(hierbei insbesondere auf elektronischem Wege unter Zuhilfenahme einer akzeptablen
elektronischen Identität oder eines bestehenden, der Person zweifelsfrei zuordenbarem
qualifizierten Zertifikates, etc.) als Zertifikatsinhaber/in bzw. berechtigte Dritte/r zweifelsfrei
identifizieren kann
c. Nach Erwägung eines RO kann ein Widerruf auch ohne Kenntnis des Widerrufskennworts
und ohne zweifelsfreie Identifizierung des/der Zertifikatsinhabers/in durchgeführt werden.
So ist im Zweifelsfall ein Widerruf durchzuführen, um das Risiko des Missbrauchs zu
minimieren. Das Risiko eines für den/die Zertifikatsinhaber/in nicht mehr nutzbaren
Zertifikats/Signaturmittel wird dabei dem Risiko des Missbrauchs untergeordnet.
v1.5.0 22 von 77 © PrimeSign GmbHMaßgeblich für eine erfolgreiche Identifikation und demnach Akzeptanz eines derartigen Antrags, ungeachtet ihrer Art (persönlich, über die Distanz bzw. elektronisch), sind die Qualitätsansprüche, die für die Registrierung eines/einer Zertifikatsinhabers/in in den gegenständlichen Dokumenten Certificate Policy [CP] und Certification Practice Statement festgelegt wurden. Für nähere Informationen zur Veröffentlichung von Aussetzung und Widerruf, einer Liste von Gründen für die Durchführung einer Aussetzung bzw. eines Widerrufes sowie einer Auflistung zur Aussetzung bzw. zum Widerruf berechtigter Personen siehe Abschnitt 4.8 und 4.9. 3.4.1 Allgemeiner Ablauf von Aussetzung bzw. Widerruf Abbildung 2 skizziert den allgemeinen Ablauf zur Initiierung einer Aussetzung bzw. eines Widerrufs. Aus dieser Abbildung ist auch ersichtlich an welche Stelle eine entsprechende Protokollierung stattfindet. Die Antragsstellung kann telefonisch, über ein Webformular, in Papierform, sowie persönlich erfolgen (entsprechend der aktuell angebotenen Möglichkeiten zur Beantragung einer Aussetzung bzw. eines Widerrufs). In einem ersten Schritt erfolgen die Suche und Feststellung des betroffenen Zertifikats. Dazu benötigt der/die Antragssteller/in Daten des auszusetzenden Zertifikats (Seriennummer, im Zertifikat dargestellter Namen etc.). Falls mehrere Zertifikate eines/r Zertifikatsinhabers/in anhand des Namens gefunden werden, erfolgt die Auswahl des betroffenen Zertifikats. Wurde kein Zertifikat gefunden, wie etwa durch einen Tippfehler, so ist eine erneute Suche möglich. Erfolgt die korrekte Eingabe des Widerrufskennworts so wird der/die Antragssteller/in über die Folgen von Aussetzung bzw. Widerruf informiert und hat zum Zwecke der Protokollierung den Grund für die Aussetzung bzw. den Widerruf anzugeben. Es erfolgt die Bestätigung der Kenntnisnahme der Belehrung. Das betroffene Zertifikat wird ausgesetzt bzw. widerrufen und die aktualisierte Widerrufsstatusinformation veröffentlicht. Zusätzlich wird der/die Zertifikatsinhaber/in per E-Mail über die erfolgte Aussetzung bzw. den erfolgten Widerruf informiert. Im Fall einer Aussetzung wird dem/der Zertifikatsinhaber/in ein Code zur Aufhebung der Aussetzung sowie ein Link zur Durchführung der Aufhebung per E-Mail an die von dem/der Zertifikatsinhaber/in bei der Registrierung hinterlegte E-Mail-Adresse versendet. Dieser Code wird dabei vom VDA automatisch generiert. Eine Aufhebung der Aussetzung ist nur unter Angabe dieses Codes möglich. Nach Ablauf der zehntägigen Frist erfolgt automatisch der Übergang von der Aussetzung des Zertifikats hin zum Widerruf, sofern inzwischen keine Aufhebung erfolgt ist. Sollte dem/der Antragssteller/in das Widerrufskennwort nicht bekannt sein, ist zwischen einer Aussetzung und einem Widerruf zu unterscheiden. v1.5.0 23 von 77 © PrimeSign GmbH
Im Fall einer Aussetzung ist eine Plausibilisierung der Berechtigung des/der Antragstellers/in durch Abfrage persönlicher Daten erforderlich. Ist keine erfolgreiche Plausibilisierung möglich, so wird der Antrag abgelehnt und der/die Antragsteller/in ist angehalten andere Antragswege zu bemühen oder persönlich vorstellig zu werden. Ist die Plausibilisierung erfolgreich so erfolgt die Belehrung des/der Antragsstellers/in und die anschließende Durchführung der Aussetzung ident zum Prozess bei korrekter Angabe des Widerrufskennworts. Im Fall eines Widerrufs muss eine Feststellung der Identität des/der Antragstellers/in erfolgen. Der/die Antragsteller/in hat sich über geeignete Methoden zu authentifizieren (siehe Anforderungen an die Authentifizierung im Zuge der Zertifikatsausstellung in Abschnitt 3.2). Konnte die Identität des/der Antragsstellers/in und dessen Berechtigung zur Durchführung eines Widerrufs ausreichend nachgewiesen werden so erfolgt die Belehrung des/der Antragsstellers/in und die anschließende Durchführung des Widerrufs ident zum Prozess bei korrekter Angabe des Widerrufskennworts. Schlägt die Feststellung der Identität fehl, so kann ein RO einen Widerruf auch ohne Kenntnis des Widerrufskennworts und ohne zweifelsfreie Identifizierung des/der Zertifikatsinhabers/in in Erwägung ziehen, um das Risiko des Missbrauchs zu minimieren. Ansonsten wird der Antrag abgelehnt und der/die Antragsteller/in ist angehalten andere Antragswege zu bemühen oder persönlich vorstellig zu werden. Mitarbeiter/innen der Rolle RVO (z.B. entsprechend geschulte Mitarbeiter/innen der telefonischen Rufannahme) verfügen über die Berechtigung eine Aussetzung bzw. einen Widerruf unter Angabe des korrekten Widerrufskennworts, sowie bei nicht bekanntem Widerrufskennwort, auf Basis der Plausibilisierung, eine Aussetzung durchzuführen. Ein Widerruf ohne bekanntem Widerrufskennwort ist für eine/n Mitarbeiter/in der Rolle RVO nicht möglich. Gegebenenfalls ist so ein Antrag an eine/n Mitarbeiter/in der Rolle RO weiterzuleiten. Für die Entgegennahmen von Anträgen zu Widerruf und Aussetzung sowie deren Durchführung bedient sich der VDA der Hotline der Cryptas Unternehmensgruppe. Zertifikatsinhaber/innen steht somit ein 24h erreichbarer telefonischer Widerrufsdienst, mit einer maximalen Reaktionszeit von 1h für einen Rückruf, zur Verfügung. v1.5.0 24 von 77 © PrimeSign GmbH
Sie können auch lesen
