Pravidlá bezpečnosti pre majiteľov certifikátov certifikačnej autority DÔVERA zdravotná poisťovňa, a. s. Verzia 1.1 Platí od 1.1. 2011
Obsah 1 Úvod... 3 2 Bezpečnostné pravidlá pre majiteľov certifikátov DÔVERA zdravotná poisťovňa, a. s... 3 2.1 Zásady bezpečnosti... 3 2.2 Voľba silného hesla... 3 2.2.1 Kvalitný a aktualizovaný antivírusový systém... 4 2.2.2 Ďalšie odporúčania... 4 2.2.3 Ochrana súkromného kľúča... 4 2.2.4 Inštalácia koreňového certifikátu CA... 5 3 Postupy kontroly a prevádzkové bezpečnostné pravidlá... 5
1. Úvod Tento dokument obsahuje súbor bezpečnostných pravidiel odporučení pre majiteľov certifikátov internej certifikačnej autority DÔVERA zdravotná poisťovňa, a. s. (ďalej CA), ktorá je v zmysle zákona c. 215/2002 Z.z. o elektronickom podpise a o zmene a doplnení niektorých zákonov uzavretým systémom pre správu a vydávanie certifikátov pre vybraných zmluvných partnerov DÔVERA zdravotná poisťovňa, a. s. 2. Bezpečnostné pravidlá pre majiteľov certifikátov DÔVERA zdravotná poisťovňa, a. s 2.1 Zásady bezpečnosti Obsahom tejto časti sú odporúčania - všeobecne uznávané zásady na minimalizáciu rizík spojených s elektronickou komunikáciou. Základným východiskom, ktoré je potrebné mať na zreteli pri elektronickej komunikácii je nasledujúce tvrdenie: Bezpečnosť žiadneho systému nemôže byt nikdy absolútna. Je teda nevyhnutné zaistiť, aby náklady, ktoré by prípadný útočník musel vynaložiť na prekonanie ochrany Vášho počítača, boli vyššie ako to, čo by týmto útokom mohol získať. Potom nebude mať žiadny dôvod tento útok uskutočniť. Samotná aplikácia Elektronická pobočka v dostatočnej miere chráni Vaše dáta počas prenosu z Vášho počítača do Elektronickej pobočky a späť. Ochrana dát pre daný typ použitia je založená na adekvátnych kryptografických metódach. Okrem toho je však nevyhnutné chrániť aj Váš počítač, pretože jeho diskreditácia môže mať za následok aj diskreditáciu dát, ktoré sú bezpečným spôsobom prenášané z /na Elektronickú pobočku. 2.2 Voľba silného hesla Bezpečnosť aplikácie je založená na použití pokročilých technológií, založených na použití symetrickej a asymetrickej kryptografie. Pre autentizáciu je využívaný certifikát, ku ktorému sa viaže pár kľúčov (verejný a súkromný kľúč). Prístup k súkromnému kľúču je možné zabezpečiť heslom. Taktiež je možné zakázať jeho exportovanie z PC užívateľa. Nevyhnutnosťou je zvoliť heslo aj pre zneplatnenie certifikátu. Ďalšie heslo je použité pre prístup do Elektronickej pobočky. Pre voľbu hesla platia nasledujúce zásady: o Heslo musí mať každý užívateľ vlastné, t.j. nesmie sa zdieľať s ďalším užívateľom. o Heslá nesmú byť napísané nikde v blízkosti počítača. Ak si ich užívateľ zapisuje, musia byť bezpečne uložené tak, aby ich nikto iný nemohol získať. Zápis hesiel na papier však neodporúčame. o Heslá je nutné zvoliť dostatočne dlhé (8 a viac znakov) a mali by sa skladať z písmen aj číslic. Nesmú sa vzťahovať k osobe klienta, k jeho príbuzným, záľubám ani k banke skrátka, nesmie byť ľahké ich odhaliť. Aj v prípade voľby bezpečného hesla je nutné znížiť riziko odpozorovania cudzou osobou. K odpozorovaniu môže dôjsť priamym pozorovaním pri jeho typovaní, ale aj pomocou
špeciálnych škodlivých programov napr. vírusov. Je teda nutné dávať si pri zadávaní hesla pozor, aby Vám nikto nevidel na ruky a je nutné chrániť samotný prístup k počítaču. Okrem toho je potrebné mať nainštalovaný kvalitný antivírusový systém. 2.2.1 Kvalitný a aktualizovaný antivírusový systém Požiadavky na kvalitný antivírusový systém (ďalej len AV): o AV musí spoľahlivo zisťovať všetky typy vírusov. o AV musí zabrániť vniknutiu vírusu do systému, jeho množeniu, škodlivej činnosti (kontrola zápisu do vykonateľných a iných vymenovaných súborov, formátovaniu, atd.). o AV musí pri zistení vírusu zrozumiteľne a zmysluplne informovať užívateľa (jazykom, ktorému užívateľ rozumie). AV musí kontrolovať odosielané i prijímané e-maily. o AV musí zabrániť styku užívateľa so zisteným vírusom. Okrem toho je nevyhnutné, aby bol AV pravidelne a korektne aktualizovaný. 2.2.2 Ďalšie odporúčania Pre ochranu Vášho počítača je vhodné mať nainštalovaný a nakonfigurovaný tzv. Firewall (ochranný múr), predovšetkým pre počítače priamo pripojené k Internetu. Nemusí sa pritom vždy jednať len o drahé zariadenie alebo aplikáciu. Dostatočný môže byť aj kvalitný verejne prístupný software. Ďalším vhodným protiopatrením je ochrana proti tzv. spyware. Túto problematiku je opäť možné riešiť aj pomocou kvalitných voľne dostupných programov. 2.2.3 Ochrana súkromného kľúča Pre overenie totožnosti komunikujúcich strán sú využívané certifikáty vydávané tzv. dôveryhodnou treťou stranou. Pomocou certifikátov môžu komunikujúce strany získať istotu o autenticite tej druhej strany. Takto nie je potrebné dodatočným spôsobom overovať jej totožnosť. Dôveryhodnosť jednotlivých komunikujúcich strán je priamo zviazaná s dôveryhodnosťou súkromných kľúčov (komunikujúcich strán i certifikačnej autority). Preto je potrebné chápať súkromný kľúč prislúchajúci k platnému certifikátu ako prvok mimoriadnej dôležitosti a chrániť ho. Pod ochranou súkromného kľúča rozumieme predovšetkým dodržiavanie nasledujúcich zásad: o Voľba vhodného typu ochrany súkromného kľúča. o Ak je súkromný kľúč uložený vo vašom počítači je potrebné minimálne realizovať bezpečnostné odporúčania týkajúce sa ochrany Vášho počítača. Autentifikačný údaj je používateľské meno, prihlasovacie heslo a certifikát, na základe ktorých Elektronická pobočka overí totožnosť používateľa.
Certifikát (elektronický podpis na báze asymetrických kľúčov) je dvojica asymetrických kľúčov, ktorá umožňuje zachytiť obsah právneho úkonu a určiť osobu, ktorá právny úkon elektronickými prostriedkami urobila. Držiteľ certifikátu je povinný (v zmysle zákona č. 215/2002 Zb. o elektronickom podpise): a) zaobchádzať so svojim súkromným kľúčom s náležitou starostlivosťou tak, aby nemohlo dôjsť k zneužitiu jeho súkromného kľúča, b) uvádzať presné, pravdivé a úplné informácie vo vzťahu k certifikátu svojho verejného kľúča, c) neodkladne požiadať certifikačnú autoritu DÔVERA zdravotná poisťovňa, a. s o zrušenie certifikátu ak sa zistí, že došlo k neoprávnenému použitiu jeho súkromného kľúča, alebo ak hrozí neoprávnené použitie jeho kľúča alebo ak nastali zmeny v údajoch, uvedených v certifikáte. 2.2.4 Inštalácia koreňového certifikátu CA Pred použitím je nutné certifikát nainštalovať na počítač používateľa. Podrobný postup inštalácie je popísaný v dokumentácii, ktorú získa každý užívateľ spolu s vydaným certifikátom. 3. Postupy kontroly a prevádzkové bezpečnostné pravidlá Ďalšie odporúčania a postupy kontroly pri práci s Elektronickou pobočkou: 1. Pred prihlásením do aplikácie sa vždy presvedčte, že ide naozaj o Elektronickú pobočku DÔVERA zdravotná poisťovňa, a. s, a že je spojenie realizované prostredníctvom bezpečného SSL protokolu. Skontrolujte najmä nasledovné parametre (uvedené platí najmä pre prehliadač Internet Explorer): a. riadok, do ktorého sa vkladá URL adresa v prehliadači je podfarbený zelenou farbou b. napravo od riadku, do ktorého sa vkladá URL adresa je podfarbený zelenou farbou a je na ňom zobrazený údaj: Dovera zdravotna poistovna, a.s. (SK) c. URL adresa sa začína znakmi https://www.dovera.sk 2. ak zistíte, že nepoužívate SSL protokol, alebo že máte inú URL adresu alebo nesúhlasia údaje v koreňovom certifikáte CA, v žiadnom prípade aplikáciu Elektronická pobočka nepoužívajte, 3. ďalej Vám neodporúčame pripájať sa na Elektronickú pobočku z počítačov umiestnených na verejných miestach (napr. internetové kaviarne, počítačové učebne a pod.). Existuje totiž reálne nebezpečenstvo, že na týchto počítačoch môžu byť vírusy, ktoré môžu napomôcť k získaniu Vášho hesla pre tretiu osobu, 4. po ukončení práce s Elektronickou pobočkou použite štandardnú odhlasovaciu procedúru.