AZ.CA Root Certificate Policy CPS-2019.pdfproqram və texniki vasitələr; - Elektron imza yaratma m...
Transcript of AZ.CA Root Certificate Policy CPS-2019.pdfproqram və texniki vasitələr; - Elektron imza yaratma m...
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 1/44
Asan Sertifikat Xidmətləri Mərkəzinin
Sertifikatın Tətbiqi Qaydaları
_________2013-cü il
Versiya 1.0
Mündəricat
1 Giriş.................................................................................................................................. 6
2 Anlayışlar ......................................................................................................................... 7 2.1 İstifadəçilər və tətbiq sahəsi ...................................................................................... 8 2.2 Sənədin adı və identifikasiyası ................................................................................. 8 Bu Qaydalar VN ASXM tərəfindən _____ 2013-cü il tarixində təsdiqlənmişdir. Sənədin
adı, təsdiqlənmə tarixi, versiyası sənədin üz qabığında əks edilir. ...................................... 9
2.3 Tərəflər ...................................................................................................................... 9 2.3.1 VN ASXM-in strukturu...................................................................................... 9
2.4 Sertifikatların istifadəsi ............................................................................................. 9 2.4.1 Düzgün istifadə halları ....................................................................................... 9 2.4.2 Qadağan olunmuş istifadə halları....................................................................... 9
2.5 Fəaliyyət sahələri....................................................................................................... 9 2.5.1 Qaydaların işlənilməsinə məsul mərkəz .......................................................... 10 2.5.2 Əlaqə məlumatları ............................................................................................ 10
3 Yayımlanma və saxlama məsuliyyəti ............................................................................. 11 3.1 Sahə və sertifikatın yoxlanılması xidmətləri ........................................................... 11
3.1.1 Sahə xidmətləri ................................................................................................ 11 3.1.2 Sertifikatın etibarlılığının yoxlanması xidmətləri ............................................ 11
3.2 İnformasiyanın yayımlanması ................................................................................. 12 3.3 Yayımlanma vaxtı və mütəmadiliyi ........................................................................ 12
3.4 Sahəyə daxilolmaya nəzarət .................................................................................... 13 4 İmza sahibinin eyniləşdirilməsi və kimliyinin təsdiqlənməsi ........................................ 14
4.1 Adlandırma .............................................................................................................. 14
4.1.1 Ad növləri ........................................................................................................ 14
4.1.2 Adların mənalı olması zərurəti......................................................................... 15 4.1.3 Müxtəlif ad formalarının şərhi qaydaları ......................................................... 15 4.1.4 Adların unikallığı ............................................................................................. 15
4.1.5 Müəlliflik hüququ ............................................................................................ 15 4.2 İlkin eynilik yoxlaması ............................................................................................ 15
4.2.1 Fərdin eyniləşdirilməsi..................................................................................... 15 4.2.2 Təşkilatın eyniləşdirilməsi ............................................................................... 15
4.2.3 Səlahiyyətin yoxlanılması ................................................................................ 16 4.2.4 Məlumatın yoxlanılması .................................................................................. 16 4.2.5 Yaradılmış imza sahibini müəyyənləşdirmək metodu ..................................... 16
4.3 Yeni imza sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi .................................. 16
4.4 Ləğvetmə sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi .................................. 16 4.5 Sertifikatın statusunun dəyişdirilməsi barədə sorğu................................................ 16
4.5.1 İmza sahibinin sertifikatının qüvvəsinin dayandırılması barədə sorğusu ........ 16
4.5.2 İmza sahibinin sertifikatını ləğv etmək barədə sorğu ...................................... 17 4.5.3 İmza sahibinin sertifikatının qüvvəsini bərpa etmək barədə sorğu .................. 17 4.5.4 ASXM-in Sertifikatının ləğvi barədə sorğu ..................................................... 17
5 Sertifikatlarla bağlı fəaliyyət tələbləri ........................................................................... 18 5.1 Sertifikat Ərizəsi ..................................................................................................... 18
5.1.1 Sertifikat ərizəsini kimlər təqdim edə bilər ...................................................... 18 5.2 Sertifikat Ərizəsinin Emalı ...................................................................................... 18
5.2.1 Sertifikat ərizəsinin təqdim edilməsi ............................................................... 18 5.2.2 Sertifikat ərizəsinin təsdiqi və ya ondan imtina edilməsi ................................ 18
5.2.3 Sertifikat ərizəsinin emal müddəti ................................................................... 19 5.3 Sertifikatların verilməsi ........................................................................................... 19
5.3.1 Sertifikatın verilməsi zamanı ASXM-in fəaliyyəti .......................................... 19
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 3/44
5.3.2 Sertifikatın təqdim edilmə proseduru ............................................................... 19 5.3.3 Sertifikatın ASXM tərəfindən yayımlanması ................................................... 19
5.4 İmza cütü və sertifikatdan istifadə .......................................................................... 19 5.4.1 İmza sahibinin yaradılmış imza və sertifikatdan istifadəsi .............................. 19 5.4.2 Üçüncü tərəfin yoxlanılmış imzadan və sertifikatdan istifadəsi ...................... 19
5.5 Sertifikatın yenilənməsi........................................................................................... 20 5.6 Sertifikatın dəyişdirilməsi ....................................................................................... 20 5.7 Sertifikatın qüvvəsinin dayandırılması və ləğvi ...................................................... 20
5.7.1 Kimlər dayandırma və ya ləğvetmə sorğusu verə bilər ................................... 20 5.7.2 Dayandırma ...................................................................................................... 20
5.7.3 Ləğvetmə.......................................................................................................... 21 5.7.4 Üçüncü tərəf üçün ləğvetmənin yoxlanması tələbi .......................................... 22 5.7.5 CRL səbəb kodları ........................................................................................... 22 5.7.6 CRL-in dərc mütəmadiliyi ............................................................................... 23
5.7.7 CRL üçün maksimal ləngimə ........................................................................... 23 5.7.8 Sertifikatın statusunun real vaxt rejimində yoxlanması imkanı ....................... 24 5.7.9 Ləğvetmənin real vaxt rejimində yoxlanılması tələbləri ................................. 24 5.7.10 İmzanın konfidensiallığının pozulması ilə bağlı xüsusi tələblər ...................... 24
5.8 Sertifikat statusu xidmətləri .................................................................................... 24 5.8.1 Əməliyyat xüsusiyyətləri ................................................................................. 24 5.8.2 OCSP-responderin cavabları ............................................................................ 24
5.9 Sertifikatın etibarlılığının yoxlanması ..................................................................... 25 5.10 Sertifikata xidmətin başa çatması ........................................................................ 25 5.11 İmzanı saxlamaq üçün başqasına verilməsi ............................................................ 25
6 Vasitələrə, idarəetməyə və fəaliyyətə nəzarət ................................................................ 26 6.1 Fiziki təhlükəsizlik nəzarəti .................................................................................... 26
6.1.1 ASXM-in yerləşdiyi yer ................................................................................... 26 6.1.2 Fiziki giriş ........................................................................................................ 26
6.1.3 Enerji və hava təchizatı .................................................................................... 26 6.1.4 Su sızması ........................................................................................................ 26
6.1.5 Yanğının qarşısının alınması və mühafizə ....................................................... 26 6.1.6 İnformasiya daşıyıcıları ................................................................................... 26 6.1.7 Tullantıların məhv edilməsi ............................................................................. 27 6.1.8 Kənar ehtiyat surət ........................................................................................... 27
6.2 Prosedurların idarə olunması ................................................................................... 27 6.2.1 Məsul şəxslər ................................................................................................... 27 6.2.2 Tapşırıqlar üzrə tələb olunan şəxslərin sayı ..................................................... 27
6.2.3 Hər rol üçün eyniləşdirmə və kimliyini təsdiqi................................................ 27
6.2.4 Vəzifə bölgüsü ................................................................................................. 28 6.3 Kadrların idarə olunması ......................................................................................... 28
6.3.1 Kadrlara aid tələblər ......................................................................................... 28
6.3.2 Kadrların yoxlanması proseduru ...................................................................... 28 6.3.3 Təlim tələbləri .................................................................................................. 28 6.3.4 Hazırlıq üzrə təkrar təlimlər ............................................................................. 29 6.3.5 İşçi heyətə verilən sənədlər .............................................................................. 29
6.4 Audit-loqların aparılma proseduru .......................................................................... 29
6.4.1 Qeydə alınan hadisələrin növləri ..................................................................... 29 6.4.2 Audit-loqların aparılma mütəmadiliyi ............................................................. 30 6.4.3 Audit-loqun saxlanma müddəti ........................................................................ 30
6.4.4 Audit-loqun mühafizəsi ................................................................................... 30
6.4.5 Audit-loqun ehtiyat surətlərinin yaradılma proseduru ..................................... 30 6.4.6 Audit sistemi .................................................................................................... 30
6.4.7 Hadisə barədə bildiriş ...................................................................................... 30 6.4.8 Çatışmazlığın qiymətləndirilməsi .................................................................... 30
6.5 Sertifikat xidmətləri ilə bağlı qeydlərin arxivləşdirilməsi ....................................... 31
6.5.1 Arxivləşdirilmiş qeydlərin növü ...................................................................... 31 6.5.2 Arxivin saxlanma müddəti ............................................................................... 31 6.5.3 Arxivin qorunması ........................................................................................... 31 6.5.4 Arxivlərin ehtiyat surətlərinin yaradılma proseduru ........................................ 31 6.5.5 Vaxt göstəricisi ilə bağlı tələblər ...................................................................... 31
6.5.6 Arxiv sistemi .................................................................................................... 31 6.5.7 Arxivdən məlumatların əldə edilməsi və yoxlanılması ................................... 31
6.6 Konfidensiallığın pozulması və qəza hallarında bərpa ........................................... 31 6.6.1 Hadisələrin və konfidensiallığın pozulmasının idarə olunma proseduru ......... 31
6.6.2 Korlanmış hesablama resurslarının bərpası ..................................................... 32 6.6.3 ASXM-in konfidensiallığı pozulmuş yaradılmış imzası ilə bağlı prosedurlar 32 6.6.4 Qəzadan sonra işin davamlığı imkanları .......................................................... 32
6.7 ASXM-in fəaliyyətinə xitam verilməsi ................................................................... 32
7 Texniki təhlükəsizlik nəzarəti ........................................................................................ 33 7.1 İmza cütünün yaradılması və ilkin quraşdırılması .................................................. 33
7.1.1 İmza cütünün yaradılması ................................................................................ 33
7.1.2 Yaradılmış imzanın imza sahibinə verilməsi ................................................... 33 7.1.3 Yoxlanılmış imzanın üçüncü tərəfə çatdırılması .............................................. 33 7.1.4 İmzaların ölçüsü ............................................................................................... 33
7.2 Yaradılmış imzanın mühafizəsi ............................................................................... 34 7.2.1 Kriptoqrafik modul üçün standartlar ................................................................ 34
7.2.2 Yaradılmış imzaya bir neçə şəxsin nəzarəti ..................................................... 34 7.2.3 Yaradılmış imzanı saxlamaq üçün başqasına verilməsi ................................... 34
7.2.4 Yaradılmış imzanın ehtiyat nüsxəsi ................................................................. 34 7.2.5 Yaradılmış imzanın arxivləşdirilməsi .............................................................. 34
7.2.6 Yaradılmış imzanın kriptoqrafik modula ötürülməsi ....................................... 34 7.2.7 Yaradılmış imzanın kriptoqrafik modulda saxlanması .................................... 34 7.2.8 Yaradılmış imzanı aktivləşdirmə metodu ........................................................ 34 7.2.9 Yaradılmış imzanın məhv edilmə qaydası ....................................................... 35
7.2.10 Kriptoqrafik modulun səviyyəsi ...................................................................... 35 7.3 İmza cütünün idarə olunmasının digər məqamları .................................................. 35
7.3.1 Yoxlanılmış imzanın arxivləşdirilməsi ............................................................ 35
7.3.2 Sertifikatın və imza cütünün istifadə müddətləri ............................................. 35
7.4 Aktivləşdirmə məlumatı .......................................................................................... 36 7.4.1 Aktivləşdirmə məlumatının yaradılması və ilkin quraşdırılması ..................... 36 7.4.2 Aktivləşdirmə məlumatının mühafizəsi ........................................................... 36
7.4.3 Aktivləşdirmə məlumatları ilə bağlı digər məqamlar ...................................... 36 7.5 Vaxt göstəricisi ........................................................................................................ 36
8 Sertifikat və CRL profilləri ............................................................................................ 37 8.1 Sertifikat profilləri ................................................................................................... 37
8.1.1 Versiya nömrəsi ................................................................................................ 37
8.1.2 Sertifikat genişlənmələri .................................................................................. 37 8.1.3 ASXM-in CRL profile ..................................................................................... 38 8.1.4 ASXM-in delta CRL-i...................................................................................... 38
9 Uyğunluq auditi və digər yoxlamalar ............................................................................ 40 10 Digər işlər və hüquqi məsələlər ..................................................................................... 41
10.1 Ödənişlər .............................................................................................................. 41
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 5/44
10.1.1 Sertifikatın idarə olunması haqqı ..................................................................... 41 10.1.2 Sertifikatın etibarlılığının yoxlanılması haqqı ................................................. 41
10.2 Maliyyə məsuliyyəti ............................................................................................ 41 10.3 Fəaliyyətlə bağlı məlumatların konfidensiallığı .................................................. 41
10.3.1 Konfidensial saxlanılan məlumat növləri ........................................................ 41
10.3.2 Konfidensial sayılmayan məlumat növləri ...................................................... 42 10.3.3 Sertifikatın ləğvi məlumatlarının açıqlanması ................................................. 42 10.3.4 Hüquq-mühafizə orqanına çıxarışın verilməsi ................................................. 42 10.3.5 Mülki iş üzrə sübut və ya araşdırma məqsədilə çıxarışın verilməsi ................ 42
10.4 Fərdi məlumatların konfidensiallığı .................................................................... 42
10.4.1 Konfidensial saxlanılan məlumatlar ................................................................ 42 10.4.2 Konfidensial sayılmayan məlumatlar .............................................................. 43 10.4.3 Konfidensial məlumatların mühafizəsi ............................................................ 43 10.4.4 Konfidensial məlumatlardan istifadə barədə xəbərdarlıq və razılıq ................ 43
10.4.5 Məhkəmə və inzibati proseslə bağlı açıqlama ................................................. 43 10.5 Müəlliflik hüquqları ............................................................................................. 43 10.6 Təmsilçilik və zəmanətlər .................................................................................... 43 10.7 Məsuliyyət və məsuliyyətdən azad olma ............................................................. 43
10.8 Təzminat .............................................................................................................. 44 10.9 Qüvvədə olma və qüvvədən düşmə ..................................................................... 44
10.9.1 Qüvvədə olma .................................................................................................. 44
10.9.2 Qüvvədən düşmə .............................................................................................. 44 10.10 Dəyişikliklər ........................................................................................................ 44
10.10.1 ASXM-in Sertifikat Siyasətinin dəyişdirilməsi proseduru .......................... 44
10.10.2 Məlumatlandırma mexanizmi və müddət ..................................................... 44 10.10.3 OİD-də dəyişikliklər ..................................................................................... 44
10.11 Qaydaların iyerarxiyası ........................................................................................ 44 10.12 Qanunvericilik ..................................................................................................... 44
1 Giriş Asan Sertifikat Xidmətləri Mərkəzi (ASXM VN) "Elektron imza və elektron sənəd
haqqında" Azərbaycan Respublikasının Qanununa əsasən müxtəlif sertifikat xidmətləri, o
cümlədən elektron imza üçün sertifikat verən, həmçinin imzaların istifadəsi üzrə xidmətləri
təqdim edən və Vergilər Nazirliyi tabeliyində fəaliyyət göstərən Mərkəzdir.
Elektron imzaların həqiqiliyinə etibar etmək məqsədilə etibar edən tərəflər Təkmil
sertifikatları təqdim edən Sertifikat Xidməti Provayderinin (Vergilər Nazirliyinin) elektron
imzaların yaradılması zamanı düzgün qaydada müəyyən olunmuş prosedur və təhlükəsizlik
qaydalarına riayət etməsinə inanmalıdırlar.
“Sertifikatın tətbiqi qaydaları” (bundan sonra - Qaydalar) adlandırılmış bu
sənəd RFC 3647 və ETSI TS 101 456 sənədlərinin və Azərbaycan
Respublikasının qanunvericiliyinin tələblərinə müvafiq olaraq VN ASXM
tərəfindən hazırlanmışdır və sertifikat xidmətlərinin göstərilməsi ilə bağlı
olan inzibati, texniki və hüquqi məsələləri (fəaliyyəti) tənzimləyir.
VN ASXM gücləndirilmiş elektron imza yaradılması üçün yararlı olan imza
yaratma və yoxlama məlumatları əsasında Təkmil Sertifikatların verilməsini
və onların idarə olunmasını təmin edir.
VN ASXM-in sertifikat xidmətləri üzrə fəaliyyəti ISO/IEC 27001
Information Security Management System və ISO 9001 Quality Management
System uyğun olaraq hazırlanmış daxili təlimatlar əsasında həyata keçirilir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 7/44
2 Anlayışlar
Bu VN ASXM-in “Sertifikatın Tətbiqi Qaydaları”nda istifadə olunmuş söz və ifadələr
aşağıdakı mənaları ifadə edir:
- Akkreditə edilmiş Sertifikatlaşma Mərkəzi - təkmil sertifikat vermək hüququ
Azərbaycan Respublikasının Rabitə və Yüksək Texnologiyalar Nazirliyi tərəfindən
şəhadətnamə ilə təsdiqlənmiş Sertifikatlaşma Mərkəzi;
- Elektron imza - digər verilənlərə əlavə edilən və ya onlarla məntiqi əlaqəli olan, imza
sahibini eyniləşdirməyə imkan verən verilənlər;
- Elektron imza vasitələri (bundan sonra - imza vasitələri) - elektron imza yaradılması və
yoxlanılması, eləcə də imza yaratma və yoxlama məlumatları yaratmaq üçün istifadə edilən
proqram və texniki vasitələr;
- Elektron imza yaratma məlumatları (bundan sonra - gizli açar) - elektron imza yaratmaq
üçün istifadə edilən və ancaq imza sahibinə bəlli olan kod və ya kriptoqrafik açardan ibarət
təkrarolunmaz verilənlər;
- Elektron imzanı yoxlama məlumatları - elektron imzanın həqiqiliyini yoxlamaq üçün
istifadə edilən kod və ya kriptoqrafik açardan ibarət olan və elektron imza yaratma
məlumatlarına uyğun təkrarolunmaz verilənlər;
- Elektron imzanın həqiqiliyi - elektron imzanı yoxlama məlumatları vasitəsilə yoxlanılan
elektron imzanın sahibinə məxsus olmasının, imzanın əlaqəli olduğu məlumat bildirişinin
bütövlüyünün, dəyişdirilmədiyinin və təhrif edilmədiyinin təsdiqi;
- Elektron sənəd - informasiya sistemində istifadə üçün elektron formada təqdim edilən və
elektron imza ilə təsdiq olunmuş sənəd;
- Eyniləşdirmə - imza sahibini dəqiq eyniləşdirmək;
- Gücləndirilmiş elektron imza - imza sahibinin nəzarəti altında olan elektron imza
vasitələri ilə yaradılan və yalnız imza sahibinə məxsus olmaqla onu eyniləşdirən, əlaqəli
olduğu məlumat bildirişinin bütövlüyünü, dəyişməzliyini, təhrif olunmadığını və
saxtalaşdırılmadığını müəyyən etməyə imkan verən elektron imza;
- Heş funksiya - qiymətləri böyük (mümkün qədər böyük) sahədən daha kiçik sahəyə
çevirən riyazi funksiya;
- Məlumat bildirişi - məlumatın verilənlər daşıyıcısında yazılmış forması;
- VN ASXM-in Sertifikatın Tətbiqi Qaydaları - sertifikatın ümumi təhlükəsizlik tələbləri
olan konkret cəmiyyətə və/və ya sinfə tətbiq edilməsinin mümkünlüyünü göstərən müəyyən
edilmiş qaydalar toplusu;
- Sertifikat yolu - sahənin məlumat ağacında başlanğıc obyektin yoxlanılmış imzası ilə
sonuncu obyektin yoxlanılmış imzasını əldə etmək üçün istifadə olunan obyektlərin
yoxlanılmış imza sertifikatlarının nizamlanmış ardıcıllığı;
- Sertifikatın etibarlılığının yoxlanılması - sertifikat yolunun qurulması və hazırlanması
daxil olmaqla sertifikatın və həmin sertifikat yolunda olan bütün sertifikatların hazırki
vaxtda etibarlı olmasının (yəni vaxtı bitməyib və ya ləğv edilməyib) təsdiq edilməsi prosesi;
- VN ASXM-in Sertifikat Siyasəti – ASXM və onun Qeydiyyat Mərkəzlərinin sertifikatları
verərkən istifadə etdikləri qaydalar;
- Vaxt göstəricisi - müəyyən vaxt anında məlumat bildirişinin ona təqdim edilməsi barədə
akkreditə edilmiş mərkəzin elektron qeydi;
- Təhlükəsizlik siyasəti - təhlükəsizlik xidmətləri və vasitələrinin istifadəsini və
təmin edilməsini idarə edən, təhlükəsizlik üzrə struktur bölmə tərəfindən
müəyyən edilmiş qaydalar toplusu;
Təkmil sertifikat - akkreditə edilmiş SM tərəfindən gücləndirilmiş elektron
imzanı yoxlama məlumatları barəsində verilən sertifikat;
Vaxt göstəricisi - müəyyən vaxt anında məlumat bildirişinin ona təqdim
edilməsi barədə akkreditə edilmiş mərkəzin elektron qeydi;
Bu Qaydalarda istifadə olunmuş qısaltmalar aşağıdakı mənaları ifadə edir:
CRL - Ləğv edilmiş sertifikatların reyestri;
ASXM – Vergilər Nazirliyinin Asan Sertifikat Xidmətləri Mərkəzi;
OCSP - Sertifikatların vəziyyətinin real vaxt rejimində yoxlanılması protokolu;
OID - Obyekt eyniləşdirmə nömrəsi;
PKCS-Yoxlanılmış imza kriptoqrafiya standartı;
2.1 İstifadəçilər və tətbiq sahəsi
Bu Qaydalar ASXM-in fəaliyyətini, həmçinin aşağıdakı sertifikatların fəaliyyət dövrünün
idarə edilməsi ilə bağlı məsələləri əhatə edir:
Verilmiş sertifikatlar reyestrini və CRL-i imzalamaq üçün ASXM-in sertifikatını;
ASXM-in etibarlı OCSP-responderinin sertifikatını;
Təhlükəsiz imza yaratmaq üçün imza sahibinin təkmil sertifikatını.
Bu Qaydaların istifadəçiləri ASXM-in verdiyi sertifikatlarla əlaqəli olan bütün tərəflərdir.
2.2 Sənədin adı və identifikasiyası
Bu Qaydalar VN ASXM-ə aiddir və cari versiyası, həmçinin digər əlaqəli
sənədlər http:// www.asxm.gov.az/ ünvanında yerləşir.
Adı: VN ASXM-in Sertifikatın Tətbiqi Qaydaları
Versiyası: Versiya 1.0
Tarixi: _______ 2013
Etibarlılığı: Sənədin cari versiyası növbəti buraxılışa
qədər qüvvədədir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 9/44
OID: 1.3.6.1.4.1.41565.1.2.1.0
Bu Qaydalar VN ASXM tərəfindən _____ 2013-cü il tarixində təsdiqlənmişdir. Sənədin adı,
təsdiqlənmə tarixi, versiyası sənədin üz qabığında əks edilir.
2.3 Tərəflər
Tərəflər olaraq bu sənəddə hüquq və öhdəlikləri təsvir olunan VN ASXM-in Qeydiyyat
Mərkəzləri, sertifikat xidmətlərinin istehlakçıları və istifadəçiləri hesab edilir.
2.3.1 VN ASXM-in strukturu
VN ASXM-in tərkibinə sertifikatı təsdiq edən qurum və QM-ləri daxildir. ASXM sertifikatın
verilməsini bu Qaydalara və “ASXM-in Sertifikat Siyasəti”nə uyğun olaraq həyata keçirir.
2.3.1.1 Sertifikat verən qurum
Sertifikat verən qurum Sertifikat xidmətlərinin göstərilməsi ilə bağlı olaraq Sertifikatların
hazırlanması və verilməsinə məsuldur.
2.3.1.2 İmza sahibi
İmza sahibi VN ASXM-ə müraciət etmiş, identifikasiya və autentifikasiya olunmuş,
Sertifikat almış fiziki şəxsdir.
2.3.1.3 Üçüncü tərəf
Üçüncü tərəf ASXM tərəfindən verilmiş sertifikata müvafiq yaradılmış imza ilə
imzalanmış sənədi almış və aidiyyəti sertifikatı yoxlamış şəxsdir.
2.4 Sertifikatların istifadəsi
2.4.1 Düzgün istifadə halları
VN ASXM-in Sertifikatları təyinatına və istifadə sahələrinə müvafiq olaraq tətbiq
edilməlidir. VN ASXM-in təkmil Sertifikatları əl imzası tələb olunan hallarda gücləndirilmiş
elektron imza yaratmaq məqsədilə istifadə edilir. Elektron Hökumət, elektron ticarət və digər
bu kimi sahələrdə sənəd və formaları, işgüzar müqavilə və sazişlər kimi rəsmi sənədləri,
elektron məktubları, İnternet vasitəsilə həyata keçirilən əməliyyatları (tranzaksiyaları)
imzalamaq, şəbəkə mühitində autentifikasiya vasitələri ilə şəxsin kimliyini təsdiq etmək
Sertifikatların düzgün istifadə halları sayılır. İnfrastruktur Sertifikatları avadanlıqların
(serverlərin) etibarlı işinin təmin edilməsi məqsədilə avadanlığın tanınmasını həyata
keçirmək və etibarlı istifadə kanalının yaradılması üçün istifadə edilir.
2.4.2 Qadağan olunmuş istifadə halları
VN ASXM-in təkmil Sertifikatlarının Azərbaycan Respublikasının qanunvericiliyinə uyğun
olaraq təkmil Sertifikatlardan və onlara əsaslanan gücləndirilmiş elektron imzalardan
istifadənin məhdudlaşdırıldığı hallarda tətbiqi qadağandır.
2.5 Fəaliyyət sahələri
VN ASXM Sertifikat xidmətlərini təmin edən mərkəz olaraq bu Qaydaların Sertifikat
siyasətinə müvafiq müəyyənləşdirilməsinə və həyata keçirilməsinə məsuldur.
2.5.1 Qaydaların işlənilməsinə məsul mərkəz
Bu Qaydaların müəyyənləşdirilməsi, əlavə və dəyişikliklərin edilməsi üzrə bütün hüquq və
öhdəliklər VN ASXM-ə aiddir.
2.5.2 Əlaqə məlumatları
Sertifikat xidmətləri, o cümlədən sertifikat və qeydiyyat mərkəzlərinin fəaliyyətləri ilə
əlaqədar daha ətraflı məlumat əldə etmək üçün aşağıdakı əlaqə vasitələrindən istifadə edə
bilərsiniz:
Azərbaycan Respublikası Vergilər Nazirliyinin Asan Sertifikat Xidmətləri Mərkəzi
Bakı şəhəri AZ1073, Landau küçəsi 16
AZ1073
“195” Çağrı Mərkəzi
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 11/44
3 Yayımlanma və saxlama məsuliyyəti
3.1 Sahə və sertifikatın yoxlanılması xidmətləri
3.1.1 Sahə xidmətləri
VN ASXM-in sahə xidmətləri LDAP və HTTP vasitəsilə aşağıdakılara real vaxt rejimində
giriş təmin edilən xidmətlərdir:
- ASXM tərəfindən verilmiş yayımlanan sertifikatlar;
- ASXM-in CRL-ləri.
VN ASXM tərəfindən imza sahiblərinə verilən sertifikatlar LDAP və HTTP vasitəsilə
yayımlanır. Sertifikatların yayımlanması yalnız imza sahibinin razılığı olduqda mümkündür.
3.1.1.1 Sertifikatların saxlanma müddəti
Sertifikatlar VN ASXM-in sahə xidmətləri tərəfindən sertifikatların müddəti başa çatdıqdan
sonra 15 (on beş) il ərzində saxlanılır və bu bu müddət ərzində imza sahibinin kimliyini
müəyyən etməyə imkan verir. Bütün sənədlər və məlumatlar kağız və elektron formada VN
ASXM-in mərkəzləşdirilmiş arxivində Azərbaycan Respublikasının müvafiq
qanunvericiliyinin tələblərinə uyğun olaraq saxlanılır.
3.1.1.2 CRL-in saxlanma müddəti
ASXM-in CRL verilənləri sertifikatların qüvvədə olma müddətinin başa
çatmasından sonrakı 15 (on beş) il ərzində saxlanılır və bu müddət ərzində sertifikatın
etibarlılığını yoxlamaq mümkündür.
3.1.2 Sertifikatın etibarlılığının yoxlanması xidmətləri
VN ASXM tərəfindən verilən sertifikatın etibarlılığının yoxlanması OCSP-responder
vasitəsilə təmin edilir. Bütün sertifikatlar OCSP-responder tərəfindən istənilən vaxt
yoxlanıla bilər. Sertifikatların etibarlılığının yoxlanılması xidmətlərindən istifadə fasiləsiz
olaraq 24 saat 7 gün (24x7) ərzində mümkündür. Sertifikatın statusu “aktiv”dən “ləğv
edilmiş”ə dəyişdirildikdə müvafiq olaraq sertifikat rəsmi ləğv edilmiş və ya qüvvəsi
dayandırılmış hesab olunur. Bu, sertifikatın qüvvəsinin dayandırılması və ya ləğv edilməsi
sorğusundan sonra baş verir. Sertifikatın cari vəziyyəti OCSP-responder vasitəsilə yoxlanıla
bilər. Şübhə yarandıqda üçüncü tərəf sertifikatın statusu barədə ən düzgün informasiyanı VN
ASXM-in etibarlı OCSP-responderi vasitəsilə əldə etməlidir.
3.1.2.1 Yoxlanılma xidmətlərinin növləri
Sertifikatların OCSP-dən yoxlanılması CRL vasitəsilə yoxlanılmadan daha əlverişlidir,
çünki OCSP sertifikatın ləğvi (dayandırılması) barədə vaxta müvafiq daha dəqiq məlumat
verə bilər.
Ləğv və ya dayandırma haqqında sorğunun və hesabatın qəbulu ilə sertifikatın statusu
haqqında üçüncü tərəfə açıq olan məlumata edilən dəyişiklik arasında maksimum gecikmə
sertifikatın etibarlılığının yoxlanılması metodundan asılıdır:
ASXM-in etibarlı OCSP-responderindən istifadə edərək sertifikatın etibarlılığı 24 (iyirmi
dörd) saat müddətində yenilənir;
Delta CRL-dən istifadə edərək sertifikatın etibarlılığı 3 (üç) saat müddətində yenilənir.
3.1.2.2 Sertifikatın etibarlılığının yoxlanılması haqqında məlumatın təsviri
Sertifikatın etibarlılığının yoxlanılması haqqında məlumatın təsviri aşağıdakı bölmələrdə
verilmişdir:
CRL (CRL səbəb kodlarının təsviri): bölmə 5.7.5
OCSP (OCSP-responderin cavablarının təsviri): bölmə 5.8.2
3.2 İnformasiyanın yayımlanması
Ərizəçilər, imza sahibləri və üçüncü tərəflər ərizə, sertifikatların verilməsi, həmçinin ASXM
barədə məlumat almaq üçün fasiləsiz olaraq 24 (iyirmi dörd) saat 7 (yeddi) gün (24x7)
fəaliyyətdə olan http:// http://www.asxm.gov.az/ internet səhifəsindən istifadə edə bilərlər.
VN ASXM internet səhifədə aşağıdakı sənədlərin cari versiyasının yerləşdirilməsini təmin
edəcəkdir:
- VN ASXM-in Sertifikat Siyasəti;
- Sertifikatın tətbiqi qaydaları;
- Vaxt möhürü siyasəti;
- Vaxt möhürünün tətbiqi qaydaları.
Bundan əlavə internet səhifədən aşağıdakı məlumatlar da əldə edilə bilər:
- Sertifikatın alınması üçün zəruri sənədlər. Bura daxildir:
Ərizələr və onların doldurulma qaydaları;
Müqavilə formaları;
Bildiriş formaları;
Etibarnamələr;
Yaddaş.
Bundan əlavə internet səhifədən aşağıdakı məlumatları da əldə etmək mümkündür:
- VN ASXM barədə məlumat: ünvanı və əlaqə məlumatları;
- Xidmət Mərkəzləri;
- Sertifikatlarla bağlı prosedurlar;
- AsanDoc proqram təminatı;
- Xəbərlər.
3.3 Yayımlanma vaxtı və mütəmadiliyi
İnternet səhifəsində məlumatların yayımlanması üçün vaxt və mütəmadilik ilə bağlı
aşağıdakı tələblərə riayət edilməlidir:
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 13/44
ASXM-in CRL-i Baza CRL (hər gün), delta CRL (3(üç)
saatdan bir
Siyasət, Təlimat Siyasət və Təlimatlar təsdiq olunduqdan
sonra saytda yerləşdiriləcək
3.4 Sahəyə daxilolmaya nəzarət
ASXM sahə xidmətləri tərəfindən dərc edilən məlumatlar daxilolma növünə görə
açıq informasiyadır. ASXM səlahiyyəti olmayan şəxslər tərəfindən əlavə etmə, silmə və ya
saxlanılan qeydlərin dəyişdirilməsinin qarşısını almaq üçün müvafiq təhlükəsizlik tədbirləri
tətbiq edir.
Sertifikatların mötəbərliyi informasiya bazasında dəyişiklik etmək hüquqları və sistemə
girişin məhdudlaşdırılması ilə təmin olunur.
4 İmza sahibinin eyniləşdirilməsi və kimliyinin təsdiqlənməsi
4.1 Adlandırma
4.1.1 Ad növləri
ASXM tərəfindən verilən bütün sertifikatların “Issuer” sahəsi X.509 standartındakı məxsusi
adlara malikdir. Aşağıdakı atributlardan istifadə olunur:
Ölkə Adı (C) AZ
Təşkilat Adı (O) Azərbaycan Respublikası Vergilər Nazirliyi
Təşkilat bölməsinin Adı (OU) Asan Sertifikat Xidmətləri Mərkəzi
Ümumi Ad (CN) AZ Root Authority (RCA)
ASXM tərəfindən verilən bütün sertifikatların “Subject” sahəsi X.509 standartındakı
məxsusi adlara malikdir. Aşağıdakı atributlardan istifadə olunur:
Ölkə adı (C) İmza sahibinin ölkəsi (ISO 3166 kodu
Təşkilat adı (O) İmza sahibinin təşkilatı
Təşkilat bölməsinin adı (OU) İmza sahibinin təşkilatının bölməsi
Ümumi ad (CN) Adı, soyadı, ata adı
Soyad (SN) Soyadı (şəxsiyyət vəsiqəsində yazıldığı
kimi)
Ad (G) Adı (şəxsiyyət vəsiqəsində yazıldığı kimi)
Seriya nömrəsi Unikal İD nömrə (şəxsi kod)
İnterfeysdəki “Şəxsi kod” şəxsiyyət vəsiqəsində istifadə olunan koddur. Təkmil Sertifikatda
“Subject Alternative Name” genişlənməsində imza sahibinin istəyi ilə sertifikat ərizəsinə
baxılma prosesində müəyyənləşdirilmiş elektron poçt ünvanı da (Type RFC822 Name)
göstərilir.
“Soyad”, “Ad”, “Seriya nömrəsi”, “Ümumi ad”, “Təşkilat adı” və “Təşkilat bölməsinin
adı”nın hər biri üçün sətrin maksimal uzunluğu 64 simvoldur.
“Ümumi ad”, “Ad”, “Soyad”, “Təşkilat adı”, “Təşkilat bölməsinin adı” və “Titul” atributları
UTF-8 kod cədvəlinə uyğun olaraq yazılır. Bu atributlarda UTF-8 kod cədvəlinə uyğun
xüsusi simvollar da ola bilər.
Təkmil sertifikatlar üçün imza sahibi təxəllüs seçə bilər.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 15/44
4.1.2 Adların mənalı olması zərurəti
Sertifikatdakı “Subject” və “İssuer” sahələrindəki adlar mənalı olmalıdır ki, bu adlar və
onların aid olduğu qurumlar arasında mövcud əlaqə ASXM-ə aşkar olsun.
4.1.3 Müxtəlif ad formalarının şərhi qaydaları
Sertifikatlarda qeyd olunan adlar X500 standartına uyğun olmalıdır.
4.1.4 Adların unikallığı
Hər bir elektron sertifikat məxsusi ad atributlarının unikal dəstinə malikdir və buna görə də
unikal olmayan hər hansı elektron sertifikat sorğusu ASXM tərəfindən imtina edilir.
4.1.5 Müəlliflik hüququ
4.1.5.1 İmzanın yaradılması və yoxlanılması
İmzanın yaradılmasının və yoxlanılmasının bütün müəlliflik hüquqları ASXM-ə məxsusdur.
4.1.5.2 Sertifikat
Ərizəçinin sertifikat ərizəsində digər şəxslərin müəlliflik hüquqlarını pozanadlardan istifadə
etməsi qadağandır. Bununla belə ASXM ərizəçinin sertifikat ərizəsində göstərdiyi adın
müəlliflik hüquqlarının olmasını yoxlamır. ASXM hər hansı domen adı, əmtəə nişanı və ya
xidmət markasına sahibliklə bağlı mübahisələrdə qərar vermir, vasitəçilik etmir və ya
onların həllində iştirak etmir. ASXM bu Qaydalarda müəyyən edilmiş prosedur və siyasətə
uyğun olaraq hər hansı sertifikatın qüvvəsini istənilən vaxt dayandıra və ya ləğv edə bilər.
4.2 İlkin eynilik yoxlaması
ASXM və ya onun QM-i ərizəçinin düzgün eyniləşdirilməsi və kimliyinin təsdiqlənməsini,
həmçinin onun sertifikat sorğusunun tam, dəqiq və lazımi qaydada tərtibinin təsdiqlənməsini
təmin edir.
ASXM ərizəçini eyniləşdirmək üçün bütün müvafiq məlumatları, münasib olarsa, onun
yoxlanması üçün istifadə olunan sənədlərdəki hər hansı istinad nömrələri və etibarlıq
müddəti ilə bağlı məhdudiyyətlər də daxil olmaqla ərizəçinin istənilən məxsusi
məlumatlarını qeydə alır.
4.2.1 Fərdin eyniləşdirilməsi
Fərdin eyniləşdirilməsi ərizəçinin və ya səlahiyyətli nümayəndənin şəxsən (fiziki olaraq)
QM-də iştirakı ilə təmin edilir. Ərizəçi özünün kimliyini qüvvədə olan qanunvericiliyə
uyğun olaraq şəxsiyyətini təsdiq edən sənədlə təsdiq etməlidir.
4.2.2 Təşkilatın eyniləşdirilməsi
Ərizəçi hüquqi şəxslə və ya digər təşkilatı qurumla əlaqədə eyniləşdirilən şəxs olduqda
aşağıdakı şəkildə eyniləşdirmə aparılır:
Ərizəçinin tam adı (adı və soyadı);
Şəxsiyyət vəsiqəsində istifadə olunan kod və ya eyni adlı digər şəxslərdən mümkün qədər
çox fərqləndirmək üçün istifadə olunan başqa atributlar;
Əlaqəli olduğu hüquqi şəxsin və digər qurumun adı və hüquqi statusu;
Əlaqəli hüquqi şəxsin və ya digər qurumun dövlət qeydiyyatı barədə məlumat;
Ərizəçinin hüquqi şəxs və ya digər qurumla bağlılığını təsdiq edən sənəd.
Ərizəçi hər dəfə sertifikata müəyyən bir təşkilat haqqında məlumatın daxil edilməsini tələb
etdikdə, həmin təşkilatdan bununla bağlı yazılı əsas təqdim etməlidir. Bütün hallarda
məlumatı təsdiqləyən hüquqi sənədlər ayrıca təqdim olunmalıdır.
4.2.3 Səlahiyyətin yoxlanılması
Əgər sertifikatda imza sahibi vəzifəli şəxs kimi qeyd edilirsə, şəxsin iş yeri və onun
təşkilatın adından çıxış etmək səlahiyyəti təsdiq olunmalıdır və bu barədə ərizəçi ASXM-ə
müvafiq sənəd təqdim etməlidir.
4.2.4 Məlumatın yoxlanılması
Ərizəçi tərəfindən təqdim olunmuş məlumatlar “Giriş-çıxış və qeydiyyat” İdarələrarası
Avtomatlaşdırılmış Məlumat Axtarış Sistemi (İAMAS) vasitəsilə yoxlanılır. Yoxlamanın
nəticələri və ilkin eynilik yoxlaması prosedurunun düzgünlüyü ASXM-in məsul əməkdaşı
tərəfindən yoxlanılır. Ərizəçinin elektron poçt ünvanı ilkin eynilik yoxlaması zamanı
yoxlanılmır (“yoxlanılmayan ərizəçi məlumatı” adlandırılır).
4.2.5 Yaradılmış imza sahibini müəyyənləşdirmək metodu
ASXM-ə təhlükəsiz olaraq göndərilməsi üçün sertifikat sorğusu PKCS#10-yə uyğun
olmalıdır. PKCS#10 sertifikat sorğusundakı imzanın yoxlanılması müvafiq yaradılmış
imzanın əldə edilməsi üçün yetərli əsas verir.
4.3 Yeni imza sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi
QM-ə müraciət etmiş şəxsin kimliyinin qüvvədə olan qanunvericiliyə uyğun olaraq
şəxsiyyətini təsdiq edən sənədlə üzləşdirilməsi metodudur.
4.4 Ləğvetmə sorğusu zamanı eyniləşdirmə və kimliyin təsdiqi
ASXM sertifikatın ləğvini imza sahibinin yazılı müraciəti vasitəsilə onun sorğusu və
eyniliyinin təsdiqi əsasında həyata keçirir.
4.5 Sertifikatın statusunun dəyişdirilməsi barədə sorğu
ASXM müvafiq qaydada sertifikatın qüvvəsinin dayandırılması, bərpa edilməsi və
sertifikatın ləğv edilməsi xidmətlərini həyata keçirir.
Sertifikat qüvvəsinin dayandırılması onun müvəqqəti olaraq etibarsız sayılmasına səbəb
olur. Bu sertifikatın statusu yenidən bərpa oluna (aktivləşdirilə) bilər.
Sertifikat ləğv edildikdə isə onun qüvvədə olmasına xitam verilir və bərpası mümkün deyil.
Sertifikatın statusunun dəyişdirilməsi üçün müvafiq sorğu ilə müraciət olunmalıdır.
4.5.1 İmza sahibinin sertifikatının qüvvəsinin dayandırılması barədə sorğusu
İmza sahibi sertifikatın qüvvəsinin dayandırılması sorğusunu aşağıdakı üsullarla təqdim edə
bilər:
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 17/44
- VN ASXM-in “195” Çağrı Mərkəzinə zəng edərək. “195” Çağrı Mərkəzi fasiləsiz olaraq 5
gün saat 09:00-dan saat 18:00-dək fəaliyyət göstərir.
- ASXM-ə və onun Qeydiyyat Mərkəzlərinə yazılı müraciətlə.
- Qanunvericiliklə müəyyənləşdirilmiş səlahiyyətli şəxs (orqan) tərəfindən sorğu verilməklə.
Telefonla müraciət zamanı imza sahibinin eyniləşdirilməsi üçün müvafiq gizli sözün
bildirilməsi tələb olunur. Bu gizli söz sertifikat sorğusu yaradılarkən imza sahibi tərəfindən
müəyyənləşdirilir.
Yazılı müraciət zamanı QM-də imza sahibinin eyniləşdirilməsi şəxsiyyətini təsdiq edən
sənədə əsasən aparılır və onun adı, soyadı, atasının adı, şəxsi kodu, müqavilənin nömrəsi və
müraciətin səbəbi müəyyənləşdirilir.
4.5.2 İmza sahibinin sertifikatını ləğv etmək barədə sorğu
Qanunvericiliklə müəyyən edilmiş şəxslər ASXM və onun Qeydiyyat Mərkəzlərinə
sertifikatın ləğvi barədə yazılı sorğu ilə müraciət edə bilərlər. VN ASXM-in Qeydiyyat
Mərkəzlərinin əlaqə məlumatları haqqında məlumatı http://www.asxm.gov.az/ internet
səhifəsindən əldə etmək olar.
Yazılı müraciət zamanı QM imza sahibinin eyniləşdirilməsini şəxsiyyətini təsdiq edən
sənədə əsasən aparır və onun adı, soyadı, atasının adı, şəxsi kodu, sertifikatın nömrəsi,
müqavilənin nömrəsi, müraciətin səbəbi müəyyənləşdirilir.
4.5.3 İmza sahibinin sertifikatının qüvvəsini bərpa etmək barədə sorğu
Qanunvericiliklə müəyyən edilmiş şəxslər ASXM və onun Qeydiyyat Mərkəzlərinə
sertifikatın bərpa edilməsi barədə yazılı sorğu ilə müraciət edə bilərlər. VN ASXM-in
Qeydiyyat Mərkəzlərinin əlaqə məlumatları haqqında məlumatı http://www.asxm.gov.az/
internet səhifəsindən əldə etmək olar.
Yazılı müraciət zamanı QM imza sahibinin eyniləşdirilməsini şəxsiyyətini təsdiq edən
sənədə əsasən aparır və onun adı, soyadı, atasının adı, şəxsi kodu, sertifikatın nömrəsi,
müqavilənin nömrəsi, müraciətin səbəbi müəyyənləşdirilir.
4.5.4 ASXM-in Sertifikatının ləğvi barədə sorğu
ASXM-in sertifikatı əvvəlcədən məlumatlandırılmadan dayandırıla bilməz. Lazım gəldikdə
bu sertifikat onun etibarlılıq müddəti başa çatmamış da ləğv edilə bilər. Etibarlı SM
sertifikatının ləğvi barədə sorğu yazılı formada kağız üzərində təqdim edilməlidir.
Bütün ləğvetmə sorğuları etibarlı olmalıdır. SM-in təhlükəsizlik səlahiyyətlisi ASXM-in
sertifikatının ləğvi barədə sorğunun tam, düzgün və lazımi qaydada eyniləşdirildiyini təsdiq
etməlidir. Belə etibarlılıq yoxlaması sorğuların, onları verə bilən şəxsin səlahiyyəti barədə
məlumatlar daxil olmaqla, bu sertifikatın tədbiqi qaydaları prosedurları ilə uyğun olmasını
müəyyən edir.
ASXM-in sertifikatının ləğvi ASXM-in rəhbəri və SM-in təhlükəsizlik səlahiyyətlisi ilə
əlaqə yaradıldıqdan sonra həyata keçiriləcəkdir.
5 Sertifikatlarla bağlı fəaliyyət tələbləri
5.1 Sertifikat Ərizəsi
5.1.1 Sertifikat ərizəsini kimlər təqdim edə bilər
Öz adından və ya qanunvericilikdə nəzərdə tutulmuş qaydada ona səlahiyyət vermiş hüquqi
şəxs adından çıxış edən fiziki şəxslər sertifikat verilməsi üçün ərizə ilə ASXM-ə müraciət
edə bilərlər.
5.2 Sertifikat Ərizəsinin Emalı
Sertifikat ərizəsinin emalı prosesi ərizələrin təqdim edilməsini, ərizəçinin eyniləşdirməsi və
kimliyinin təsdiqlənməsini, müraciətlər barədə qərarın qəbul edilməsini əhatə edir.
5.2.1 Sertifikat ərizəsinin təqdim edilməsi
Ərizəçi Sertifikatın verilməsi üçün ASXM-in Qeydiyyat Mərkəzinə gələrək yazılı müraciət
etməli və Ərizədə müvafiq məlumatlar doldurulmalıdır.
Ərizəçinin Sertifikatın verilməsi üçün müraciət Ərizəsində olan bütün məlumatlar ASXM-in
İnformasiya sistemində Azərbaycan Respublikasının müvafiq qanunvericiliyinə əsasən
saxlanılacaq, mühafizə ediləcək və arxivləşdiriləcəkdir.
Qeydiyyat Mərkəzinə müraciət zamanı fərdin və təşkilatın autentifikasiyası, səlahiyyətin
yoxlanılması kimi ilkin identiklik yoxlaması həyata keçirilir. Ərizəçi tərəfindən imzalanmış
qeydiyyat məlumatları olan Ərizəyə əsasən sertifikatın verilməsi prosesi başlanır.
Ərizə hüquqi və ya fiziki şəxsin nümayəndəsi tərəfindən verildiyi təqdirdə nümayəndənin
Ərizəçi adından müraciət etmək səlahiyyəti notarial qaydada təsdiq olunmuş etibarnamə ilə
müəyyən olunur.
Qeydiyyat operatoru sertifikatın, açarların istifadəsi, lazımi təhlükəsizlik tədbirləri barədə
Ərizəçini məlumatlandırır. Bundan sonra Ərizə barədə məlumatlar İnformasiya sistemi
vasitəsilə müəyyən prosedura uyğun növbəti emal mərhələsinə göndərilir.
ASXM tərəfindən sorğu sertifikatlaşdırıldıqdan sonra sertifikatın əldə edilməsi ilə bağlı
mügavilə forması iki nüsxədə çap olunur. Müqavilənin hər iki nüsxəsi Mərkəz tərəfindən
imzalanaraq və möhürlə təsdiq edilərək Ərizəçiyə təqdim olunur. İstifadəçidən hər iki
nüsxənin imzalanması tələb olunur. Müqavilənin bir nüsxəsini İstifadəçi özündə saxlayır.
QM təmsilçisi tərəfindən sertifikat kağız formada çap olunur, imzalanır, möhürlənir və
istifadəçiyə təqdim edilir. Sertifikatın aktivləşdirilməsi barədə bildiriş hazırlanır və bir
nüsxədə çap edilərək Ərizəçiyə təqdim edilir.
5.2.2 Sertifikat ərizəsinin təsdiqi və ya ondan imtina edilməsi
QM operatoru daxil olmuş ərizəni təsdiq və ya ondan imtina edə bilər. Ərizə yoxlanılır və
sertifikat sorğusunda olan məlumatların düzgünlüyünə əmin olduqdan sonra QM-in
operatoru sertifikat sorğusunu ASXM-ə göndərir, əks halda isə sertifikatın alınması üçün
yenidən müraciət proseduru həyata keçirilməlidir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 19/44
5.2.3 Sertifikat ərizəsinin emal müddəti
Sertifikat ərizəsi ərizəçinin iştrakı ilə yoxlanılır. Lazım gəldikdə ərizəçi üçün müəyyən vaxt
təyin oluna bilər. Bütün sənədlər təqdim edildiyi tarixdən 1 (bir) iş günü ərzində yoxlanılır
və sertifikat İstifadəçiyə təqdim edilir.
5.3 Sertifikatların verilməsi
5.3.1 Sertifikatın verilməsi zamanı ASXM-in fəaliyyəti
ASXM-də sertifikatın verilməsi prosesi təhlükəsiz olaraq həyata keçirilir.
5.3.2 Sertifikatın təqdim edilmə proseduru
Ərizəçi sertifikatı almaq üçün şəxsən (və ya onun sertifikat ərizəsində göstərdiyi şəxs) QM-ə
gəlməli və özünün eyniləşdirmə sənədini təqdim etməlidir. QM-də ərizəçinin
eyniləşdirilməsi, sertifikatın və imza vasitələrinin istifadə qaydaları və ASXM-lə bağlı
məlumatlandırılma, müqavilə bağlanılması həyata keçirilir.
5.3.3 Sertifikatın ASXM tərəfindən yayımlanması
Verilmiş sertifikatlar ASXM-in sahə xidmətlərində aktivləşdirilərək yayımlanır.
Sertifikatların yayımlanması ərizəçinin razılığı əsasında həyata keçirilir.
5.4 İmza cütü və sertifikatdan istifadə
5.4.1 İmza sahibinin yaradılmış imza və sertifikatdan istifadəsi
İmza sahibi malik olduğu yaradılmış imzadan istifadə zamanı Azərbaycan Respublikasının
mövcud qanunvericiliyinə, bu “ASXM-in Sertifikatın tədbiqi Qayadaları”na, imzalanmış
müqaviləyə riayət etməli və aşağıdakılar təmin olunmalıdır:
Yaradılmış imzadan və imza yaratma vasitələrindən təyinatına görə istifadə edilməlidir;
İmza sahibinin müqavilə ilə razılaşması və sertifikatın məzmununu qəbul etməsindən
sonra yaradılmış imzadan istifadəsinə icazə verilir;
İmza sahibi yaradılmış imza daşıyıcısını şəxsən təhlükəsiz saxlamalı və yaradılmış
imzadan başqasının istifadəsinə yol verməməlidir;
Müqavilə tələblərinə uyğun olaraq, yaradılmış imzanın konfidensiallığının pozulması,
onun sui-istifadəsi bəlli olduqda və ya buna şübhə yarandıqda 3 (üç) saat ərzində bu haqda
QM-ə və ya ASXM-ə məlumat verməlidir.
5.4.2 Üçüncü tərəfin yoxlanılmış imzadan və sertifikatdan istifadəsi
Üçüncü tərəf etibar etməsi üçün özü aşağıdakıları yoxlamalıdır:
Sertifikatın bu Qaydaları ilə məhdudlaşdırılmayan istifadə sahələrinə müvafiq olaraq
tətbiq olunmasını (bu müəyyənləşdirmənin nəticəsinə görə ASXM məsuliyyət daşımır);
Sertifikatın və sertifikat yolundakı bütün SM-lərin sertifikatlarının statusunu (əgər bu
sertifikatlardan hər hansı biri ləğv edilmişdirsə, üçüncü tərəf imza sahibinin sertifikatına və
ya sertifikat yolundakı ləğv olunmuş, dayandırılmış sertifikata etibar etməməlidir).
5.5 Sertifikatın yenilənməsi
Sertifikatın yenilənməsi yeni açar cütünün yaradılması və yeni yoxlanılmış imzanı təsdiq
edən yeni sertifikatın verilməsidir.
Sertifikatın qüvvədən düşməsinə 30 (otuz) gün qalmış imza sahibi ASXM tərəfindən telefon
və ya e-poçtla məlumatlandırılır. Sertifikat qüvvədən düşdükdə imza sahibi bu “ASXM-in
Sertifikatın tədbiqi Qaydaları”na əsasən yeni sertifikatın alınması üçün müraciət edə bilər.
5.6 Sertifikatın dəyişdirilməsi
ASXM mövcud sertifikata heç bir dəyişiklik etmir, çünki sertifikata ediləcək dəyişikliklər
onun etibardan düşməsinə və sertifikatın yoxlanılması zamanı mənfi nəticəyə səbəb ola
bilər.
Sertifikat məlumatlarından hər hansı biri dəyişdikdə ASXM dəyişdirilmiş məlumatları
özündə əks etdirən yeni sertifikat verir. Məsələn, imza sahibinin soyadı dəyişdikdə onu əks
etdirən yeni sertifikat verilməlidir. Sertifikatdakı məlumatlar dəyişdikdə imza sahibi mövcud
sertifikatın ləğvi və yeni sertifikatın alınması üçün müraciət etməlidir.
5.7 Sertifikatın qüvvəsinin dayandırılması və ləğvi
Dayandırma və ləğv sorğuları “ASXM-in Sertifikatın tətbiqi Qaydaları”ndakı prosedur və
tələblərə uyğun olmalıdır.
5.7.1 Kimlər dayandırma və ya ləğvetmə sorğusu verə bilər
Aşağıdakılar bu “ASXM-in Sertifikat Siyasəti”nin tələblərinə uyğun olaraq sertifikatın
qüvvəsinin dayandırılması və ya ləğvi barədə müraciət edə bilər:
- İmza sahibi;
- Qanunvericiliklə müəyyənləşmiş səlahiyyətli şəxs (orqan);
- ASXM.
Bu prosedurlar ASXM-in dayandırma və ya ləğvetmə səlahiyyətliləri tərəfindən
qanunvericiliyin və “ASXM-in Sertifikatın tətbiqi Qaydaları”nın tələblərinə müvafiq şəkildə
həyata keçirilir.
5.7.2 Dayandırma
5.7.2.1 Dayandırma halları
ASXM aşağıdakı hallarda dərhal sertifikatın qüvvəsini dayandırır:
- Müvafiq sorğu alındıqda;
- Məhkəmə qərarı olduqda.
ASXM tərəfindən verilmiş sertifikatın qüvvəsinin dayandırılma sorğusu təsdiq olunduqdan
sonra dərhal icra olunur.
5.7.2.2 Dayandırma sorğusu proseduru
Sertifikatın qüvvəsinin dayandırılma sorğusu imza sahibinin QM-ə yazılı və ya telefonla
müraciəti əsasında icra edilir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 21/44
5.7.2.3 Sertifikatın qüvvəsinin dayandırılma sorğusunun yerinə yetirilmə müddəti
Sertifikatın qüvvəsinin dayandırılma sorğusunun qəbulu ilə sertifikatın statusu haqqında
üçüncü tərəfə açıq olan məlumatlara dəyişiklik edilməsi müddəti sertifikatın etibarlılığının
yoxlanması metodundan asılı olaraq ən geci aşağıdakı kimidir:
- ASXM-in etibarlı OCSP-responderi – real vaxt rejimində;
- Baza CRL ilə yoxlanma – hər gün;
- Delta CRL ilə yoxlama – 3 (üç) saat.
Üçüncü tərəf sertifikatın statusu barədə ən aktual məlumatı ASXM-in etibarlı OCSP-
responderindən əldə edə bilər.
5.7.2.4 Dayandırma müddətinə məhdudiyyətlər
Sertifikatın verilməsi üçün əsas olan məlumatların düzgünlüyünə və ya imza sahibinin
yaradılmış imzanın təhlükəsizliyinə ASXM-in əsaslı şübhələri olduqda sertifikat 48 (qırx
səkkiz) saatdan artıq olmamaq şərti ilə dayandırıla bilər.
5.7.2.5 Qüvvəsi dayandırılmış sertifikatların CRL-də dərci
- Qüvvəsi dayandırılmış sertifikat barədə CRL-dəki qeydlər sertifikatın qüvvədə olma
müddəti başa çatanadək dəyişilməz qalır (OCSP responder sertifikatın qüvvədə olması
barədə sorğunu mənfi cavablandırır);
- Qüvvəsi dayandırılmış sertifikat üçün CRL-dəki qeydlər həmin sertifikatın ləğvetmə
məlumatları ilə əvəz olunur və yenilənmiş CRL dərc olunur (OCSP responder sertifikatın
qüvvədə olması barədə sorğunu mənfi cavablandırır);
- Qüvvəsi dayandırılmış sertifikat bərpa olunur, onun barəsindəki qeydlər CRL-dən silinir və
yeni CRL dərc olunur (OCSP responder sertifikatın qüvvədə olması barədə sorğunu müsbət
cavablandırır);
5.7.2.6 Bərpa sorğusunun yerinə yetirilmə müddəti
Sertifikat bərpa edildikdən sonra 3 (üç) saat ərzində delta CRL-də yerləşdirilməlidir.
5.7.3 Ləğvetmə
5.7.3.1 Ləğv edilmə halları
Sertifikatı ləğvetmə sorğusu aşağıdakı hallarda yaradılır:
- İmza sahibinin sorğusu əsasında;
- Qanunvericiliyə əsasən səlahiyyətli şəxsin (orqanın) qərarı və ya sorğusu əsasında;
- İmza sahibinin yaradılmış imza üzərində nəzarəti itirildikdə (sertifikat daşıyıcısı itdikdə,
konfidensiallıq pozulduqda);
- ASXM və imza sahibi arasındakı müqavilə şərtlərinə riayət olunmadıqda və ya müqaviləyə
xitam verildikdə;
- İmza yaratmaq üçün tətbiq olunan alqoritm, parametr və vasitələrin imzaların təhlükəsiz
istifadəsini təmin edə bilməyəcəyi barədə əsaslı şübhə yarandıqda;
- Qanunvericiliklə müəyyən edilmiş digər hallarda.
5.7.3.2 Sertifikatı ləğvetmə sorğusu proseduru
Sertifikatı ləğvetmə sorğusu verən imza sahibi QM-ə yazılı müraciət etməlidir. Bu
prosedurun yerinə yetirilmə ardıcıllığı aşağıdakı kimidir:
- İmza sahibindən şəxsiyyəti təsdiq edən sənəd tələb olunur və surəti çıxarılır.
- İmza sahibinin şəxsiyyəti təsdiq edən sənədi yoxlanılır.
-İmza sahibinin şəxsiyyəti təsdiq edən sənədin məlumatları sistemə daxil edilərək yoxlanılır.
- Ləğv edilməli olan sertifikatlar seçilir.
- Sistemdə sertifikatın ləğv edilməsi ilə bağlı forma hazırlanır və iki nüsxədə çap edilir.
- İmza sahibindən hər iki nüsxənin imzalanması xahiş olunur. Nüsxələrdən biri İmza
sahibində saxlanılır.
- Sertifikat ləğv edilir.
5.7.3.3 ASXM tərəfindən sertifikatı ləğvetmə sorğusunun yerinə yetirilmə müddəti
Sertifikatın ləğvetmə sorğusunun qəbulu ilə sertifikatın statusu haqqında üçüncü tərəfə açıq
olan məlumatlara dəyişiklik edilməsi müddəti sertifikatın etibarlılığının yoxlanması
metodundan asılı olaraq ən geci aşağıdakı kimidir:
ASXM-in etibarlı OCSP responderi – real vaxt rejimində;
- Baza CRL ilə yoxlanma – hər gün;
- Delta CRL ilə yoxlama – 3 (üç) saat;
Üçüncü tərəf sertifikatın statusu barədə ən aktual məlumatı ASXM-in etibarlı OCSP
responderindən əldə edə bilər.
5.7.4 Üçüncü tərəf üçün ləğvetmənin yoxlanması tələbi
Üçüncü tərəf əmin olmaq istədiyi sertifikatın statusunu yoxlaya bilər. Sertifikatın statusunun
yoxlanılması üçün üçüncü tərəf ASXM-in sahə xidmətləri vasitəsi ilə baza CRL-dən istifadə
edə bilər.
Nəzərə almaq lazımdır ki, qüvvəsi dayandırılmış və ya ləğv edilmiş sertifikatın statusu
barədə məlumatlar baza CRL-də hər gün dərc olunur.
Üçüncü tərəf sertifikatın statusunun yoxlanılması üçün OCSP responderdən istifadə edərsə,
ASXM-in daxili sertifikat bazasından sertifikat statusuna dair ən aktual məlumatı əldə edə
bilər.
5.7.5 CRL səbəb kodları
Sertifikat ləğv olunduqda ASXM bunun səbəbini göstərir. Bu məqsədlə RFC 3280-də
müəyyənləşdirilmiş aşağıdakı səbəblər istifadə edilmişdir:
CRL səbəb kodu İzahı
Unspecified Sertifikat səbəb kodu olmadan və ya müəyyən
olunmamış səbəblə ləğv olunub.
Key compromise İmza sahibinin sertifikatla bağlı yaradılmış imzasının
konfidensiallığı pozulub. Bu o deməkdir ki, ya
sertifikat daşıyıcısı, ya da parol avtorizə edilməmiş
şəxsin sərəncamındadır
CA compromise SM-in yaradılmış imzasının saxlandığı kriptoqrafik
modulun (HSM) konfidensiallığı pozulub və o,
avtorizə edilməmiş şəxsin sərəncamındadır.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 23/44
Affiliation changed Bu səbəb kodu hər iki halda istifadə olunacaq:
- İmza sahibinin sertifikatındakı hər hansı
əhəmiyyətli məlumat dəyişsə;
- İmza sahibi sertifikatın məxsusi ad atributunda
göstərilmiş təşkilatla əlaqəsini kəssə
Superseded İmza sahibinin sertifikatı bərpa edilib (səbəb
yuxarıda göstərilən səbəblərdən fərqli olduqda).
ASXM sertifikat dəyişdirilməsi xidmətini
göstərmədiyi üçün tətbiq edilmir.
Cessation of operation
İmza sahibinin ASXM-lə əlaqəsi hər hansı səbəbdən
kəsilib.
Certificate hold Sertifikatın qüvvəsi dayandırılıb. ASXM dayanma
zamanı sertifikata zamin durmayacaq
Remove from CRL Əgər sertifikatın qüvvəsi „certificateHold‟ səbəb
kodu ilə dayandırılsa, sertifikatı („reactivate‟) bərpa
etmək mümkündür. Bərpa prosesi zamanı sertifikat
hələ də CRL-də qalacaq, amma „removeFromCRL‟
səbəb kodu ilə göstəriləcək.
Qeyd: bu, „certificateHold‟ səbəbinə xasdır və ancaq
delta CRL-lər tərəfindən istifadə olunur.
5.7.6 CRL-in dərc mütəmadiliyi
Yaradılıb və
imzalanıb
Növ Məzmun Qüvvədə olma
müddəti (dərc
vaxtı da
daxildir)
Dərc vaxtı
ASXM
Baza ASXM tərəfindən ləğv
edilmiş sertifikatlar
hər gün 1 (bir) gün
ASXM tərəfindən ləğv
edilmiş sertifikatlar
3 (üç) saat hər 3 (üç) saat
Qüvvədə olma müddəti və növbəti təzələnmə vaxtı arasındakı müddət CRL-in qüvvədə
olmasını göstərir. Texniki səbəblərdən (CRL-in yaradılması vaxt tələb edir) növbəti CRL
göstərilən müddətdən əvvəl (dərc vaxtı ərzində) dərc oluna bilər, lakin gec dərc
olunmamalıdır.
CRL-də olan sertifikat qüvvədən düşdükdə, o, növbəti dərc olunan CRL-dən silinəcək və
sertifikatlar bu Qaydaların 6.5.2-ci bəndində müəyyən olunmuş müddətə
arxivləşdiriləcəkdir.
5.7.7 CRL üçün maksimal ləngimə
CRL yaradıldıqdan sonra münasib vaxt ərzində müvafiq sahəyə göndərilir. Bu adətən
yaradıldıqdan sonra avtomatik olaraq baş verir.
5.7.8 Sertifikatın statusunun real vaxt rejimində yoxlanması imkanı
ASXM-in sertifikat yoxlama xidmətləri OCSP-responder vasitəsilə ASXM tərəfindən
verilmiş sertifikatların statusunun real vaxt rejimində yoxlanılmasını təmin edir.
5.7.9 Ləğvetmənin real vaxt rejimində yoxlanılması tələbləri
Sertifikat statusundakı dəyişikliklərin OCSP-də dərhal yerinə yetirildiyini nəzərə alaraq,
OCSP cavabları ASXM-in daxili sertifikat məlumat bazasındakı sertifikat statusuna
əsaslanır. ASXM üçüncü tərəflərə cari statusu ASXM-in etibarlı OCSP- responderindən
istifadə edərək yoxlamağı tövsiyə edir. Digər bir mexanizm isə ASXM sahə xidmətləri ilə
yüklənə bilən CRL vasitəsilə sertifikat statusunun oflayn yoxlanılmasıdır.
5.7.10 İmzanın konfidensiallığının pozulması ilə bağlı xüsusi tələblər
Yaradılmış imzadan istifadənin, yaradılma üçün istifadə olunan alqoritm, parametr və
qurğuların təhlükəsizliyinə şübhə yarandıqda ASXM-in təhlükəsizlik səlahiyyətlisi tədqiqata
başlayır. ASXM-in yaradılmış imzasının konfidensiallığı pozulduqda onun sertifikatı dərhal
ləğv edilməlidir. Bu halda ASXM xidmət göstərdiyi imza sahiblərini, əlaqədə olduğu SM-
ləri və üçüncü tərəfi məlumatlandırır və onlara verilmiş sertifikatların dəyişdirilməsini
ödənişsiz təmin edir.
5.8 Sertifikat statusu xidmətləri
ASXM-in sertifikat yoxlama xidməti OCSP-responder vasitəsilə ASXM tərəfindən verilmiş
sertifikatlar üzrə RFC 2560-yə uyğun olaraq sertifikatların statusunun real vaxt rejimində
yoxlanılmasını təmin edir.
OCSP-responderə http://va.asxm.e-taxes.gov.az/ocsp ünvanında müraciət etmək
mümkündür.
5.8.1 Əməliyyat xüsusiyyətləri
Sertifikatın statusunu yoxlamaq üçün OCSP-responderə müraciətə məhdudiyyət yoxdur və
eyniləşdirmə tələb olunmur. Statusu yoxlamaq üçün ASXM-in etibarlı OCSP-responderində
yerinə yetirilən əməliyyatların ardıcıllığı bu Qaydalarda nəzərdə tutulur.
5.8.2 OCSP-responderin cavabları
OCSP-responder sertifikatın statusu haqqında sorğuları cavablandırdıqda aşağıdakı
variantlardan istifadə edir:
OCSP cavabı İzahı
Aktiv Sorğunun müsbət nəticəsi halında verilən cavabdır. Bu cavab sertifikatın
qüvvəsinin dayandırılmadığını və ya ləğv olunmadığını göstərir
Ləğv olunub Sertifikatın ləğv olunduğunu (dayandırıldığını) göstərir.
Naməlum Sertifikat informasiya bazasında tapılmayıb. Status sorğusu ASXM
tərəfindən verilməyən və ya “ASXM-in Sertifikat Siyasəti”nin 2.2-ci
bəndinə uyğun olaraq silinmiş sertifikat barəsində verilmişdir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 25/44
5.9 Sertifikatın etibarlılığının yoxlanması
ASXM-in verdiyi sertifikatların etibarlılığı OCSP-responderi və qüvvədə olan CRL
vasitəsilə yoxlanıla bilər.
OCSP-responderdən istifadə etmək imkanı və qüvvədə olan CRL yoxdursa, onda sertifikatın
etibarlılığı yoxlanıla bilməz.
5.10 Sertifikata xidmətin başa çatması
İmza sahibi ASXM-in sertifikat xidmətlərindən istifadəni aşağıdakı hallarda bitirə bilər:
- Yeni sertifikat almayaraq, verilmiş sertifikatın qüvvəsinin başa çatmasını gözləmək;
- Yeni sertifikat almayaraq, verilmiş sertifikatın qüvvədə olması müddəti bitməmiş onu ləğv
etdirmək.
5.11 İmzanı saxlamaq üçün başqasına verilməsi
İmza sahibi ASXM tərəfindən verilmiş sertifikat daşıyıcısını, onda olan yaradılmış imzanı
və yaradılmış imza daşıyıcısından istifadə üçün giriş kodlarını başqasına verməməlidir.
6 Vasitələrə, idarəetməyə və fəaliyyətə nəzarət
ASXM bu Qaydalarla müəyyənləşən və İnformasiya təhlükəsizliyi AZS 324-
2008 (ISO/IEC 27002:2005) Beynəlxalq Standartına əsaslanan təhlükəsizlik
tələblərinə riayət edir. Buna uyğun olaraq, ASXM-in müstəqil audit tələbləri 9-cu
hissədə təsvir olunmuşdur. ASXM-in təhlükəsizlik təlimatındakı həssas təhlükəsizlik
məlumatları yalnız ASXM ilə razılaşma nəticəsində əldə edilə bilər. Bu tələblərin
xülasəsi aşağıda verilmişdir:
6.1 Fiziki təhlükəsizlik nəzarəti
ASXM dəyişdirilə bilməz etibarlı sistem və məhsullardan istifadə edir və onlar
vasitəsilə həyata keçirilən proseslərdə texniki və kriptoqrafik təhlükəsizlik təmin
edilir. ASXM-in bu Qaydaları təhlükəsizlik tələblərini dəstəkləyən fiziki təhlükəsizlik
tələblərini müəyyən edir. Fiziki təhlükəsizlik qaydaları və proseduru həssas
təhlükəsizlik məlumatlarına malikdir və yalnız ASXM ilə razılaşma nəticəsində əldə
edilə bilər.
6.1.1 ASXM-in yerləşdiyi yer
ASXM fiziki olaraq mühafizə olunan mühitdə yerləşməlidir. ASXM-in
informasiya sistemlərinin, o cümlədən onlardakı məlumatların açıq və ya gizli yolla
icazəsiz istifadəsinin, ələ keçirilməsinin, habelə onlara hər hansı müdaxilənin aşkara
çıxarılması və qarşısının alınması üçün təhlükəsizlik tədbirləri görülməlidir.
6.1.2 Fiziki giriş
ASXM-ə və onun informasiya sistemlərinə fiziki giriş daimi nəzarət altındadır.
6.1.3 Enerji və hava təchizatı
Etibarlı və davamlı fəaliyyəti təmin etmək üçün ASXM elektrik enerjisi ilə fasiləsiz
qidalandırma vasitələri və havanın istilik və rütubətinin tənzimlənməsi üçün avadanlıqlarla
təchiz edilmişdir.
6.1.4 Su sızması
ASXM su sızması nəticəsində fəaliyyətinə dəyə biləcək təsirləri minimuma endirmək üçün
müvafiq tədbirləri həyata keçirmişdir.
6.1.5 Yanğının qarşısının alınması və mühafizə
ASXM yanğının qarşısını almaq və onu söndürmək üçün müvafiq tədbirləri görür.
6.1.6 İnformasiya daşıyıcıları
İnformasiya mənbələri və daşıyıcıları kimi ASXM-in informasiya sistemində
istifadə edilən proqram təminatı, verilənlər (məlumatlar), audit-loqlar və onların
ehtiyat nüsxələri, sənəd arxivləri ASXM-də təsadüfi zədələnmə (məsələn, su, yanğın,
elektromaqnit təsirindən) və icazəsiz fiziki müdaxilədən mühafizə edilir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 27/44
6.1.7 Tullantıların məhv edilməsi
ASXM-də tullanılması nəzərdə tutulan kağız və elektron informasiya daşıyıcıları, həmçinin
qurğular onlarda olan məlumatların həssaslıq səviyyəsinə uyğun və onların bərpa olunmasını
istisna edən üsullarla məhv edilir.
6.1.8 Kənar ehtiyat surət
ASXM-in kritik sistem məlumatlarının, audit-loqların və digər həssas məlumatların
müntəzəm olaraq ehtiyat nüsxələri yaradılır, təhlükəsiz saxlanılması və müvafiq hallarda
istifadəsi təmin edilir.
6.2 Prosedurların idarə olunması
6.2.1 Məsul şəxslər
ASXM-in bütün fəaliyyəti ASXM-in təşkilati təsvirində əks olunmuş şəxslərlə bağlıdır.
Məsul şəxslərə aşağıdakılar aiddir:
Təhlükəsizlik inzibatçısı: təhlükəsizlik tədbirlərinin həyata keçirilməsinə ümumi
cavadehlik daşıyır.
Sistem inzibatçısı: ASXM-in informasiya sisteminin gündəlik işinə cavabdehdir.
Sistemin ehtiyat surətinin yaradılmasını və bərpasını yerinə yetirmək səlahiyyəti vardır.
Qeydiyyat, sertifikatın yaradılması, qurğu təchizatı və ləğvetmə üçün ASXM-in
sistemlərinin ilkin quraşdırılması, konfiqurasiyası və saxlanması üçün məsuldur.
Sistem operatoru: ASXM informasiya bazasının, əməliyyat sisteminin ehtiyat
surətlərinin yaradılmasına və onların bərpa edilməsinə məsul olunur.
Sistem auditorları: ASXM-in informasiya sisteminin arxivləri və audit-loqlara
baxmağa məsuldur.
Burada qeyd olunan şəxslər ASXM-in məsul şəxsləri kateqoriyasına aiddir və təşkilatda
informasiya təhlükəsizliyi siyasətinin tətbiq edilməsi və həyata keçirməsinə cavabdehdirlər.
6.2.2 Tapşırıqlar üzrə tələb olunan şəxslərin sayı
ASXM işlərin yerinə yetirilməsi üçün vəzifə bölgüsü və həssas tapşırıqların müxtəlif məsul
şəxslər tərəfindən icrasını təmin etmək məqsədilə ciddi nəzarət prosedurları tətbiq edir.
Aşağıdakı qurğulara və onların yerləşdiyi yerə ən azı iki məsul şəxsin birgə girişi tələb
olunur:
HSM-lər, sistem kartları və fərdiləşdirilməmiş sertifikat daşıyıcılarına məntiqi və ya fiziki
giriş;
Məlumat arxivlərinə fiziki giriş;
ASXM-in mərkəzi, alt-sistemlərinə, onların ehtiyat surətlərinə giriş.
6.2.3 Hər rol üçün eyniləşdirmə və kimliyini təsdiqi
Şəxslərin mühafizə olunan yerlərə, informasiya sistemlərinə girişi sertifikat daşıyıcısı
vasitəsilə həyata keçirilir. Sertifikat daşıyıcıları təhlükəsizlik sisteminə əvvəlcədən tanıdılır,
istifadə zamanı ilkin olaraq şəxsin kimliyinin təsdiqi həyata keçirilir və müsbət olan halda
əməliyyata icazə verilir.
6.2.4 Vəzifə bölgüsü
Vəzifə bölgüsü aşağıdakılara əsaslanır:
aparıcı vəzifəli şəxslərə əməliyyat məsələləri və ya təşkilati işlər tapşırıla bilməz;
qərarverici və məsləhətçi vəzifəli şəxslərə (xüsusən daxili və xarici audit) əməliyyat
məsələləri və ya təşkilati işlər tapşırıla bilməz;
inzibati vəzifəli şəxslərə əməliyyat məsələləri tapşırıla bilməz.
Məsuliyyətlərin bölgüsü zamanı aşağıdakılar qadağandır:
ASXM-in yerləşdiyi yerə giriş hüququ verən şəxslər inzibati vəzifə tuta bilməzlər;
tətbiqi-proqram təminatının və şəbəkənin inzibatçılığı müxtəlif şəxslər vasitəsilə həyata
keçirilir;
sertifikat ərizəçilərini eyniləşdirən və kimliyini təsdiq edən şəxslər onlara sertifikat verə
bilməz.
6.3 Kadrların idarə olunması
Məsul şəxs olmağa namizədlərin kimliyinin təsdiqlənməsi onların şəxsən iştirakı ilə
şəxsiyyət vəsiqəsi əsasında aparılır. Vəzifəyə uyğunluq bu Qaydaların 6.3.1-ci bəndində
təsvir olunmuş yoxlamanın nəticəsində müəyyənləşdirilir. Namizəd məsul şəxs təyin
edildikdən sonra vəzifələrinin icrasına başlamadan ona qurğularla işləmək və onların
yerləşdiyi yerə daxil olmaq üçün səlahiyyətləri müəyyənləşdirilməlidir.
6.3.1 Kadrlara aid tələblər
ASXM fəaliyyətinin təmini üçün bilikli, təcrübəli və səriştəli, həmçinin öhdəliklərini yerinə
yetirmək bacarığına malik işçi heyətə malik olmalıdır. Vəzifəyə namizədlər bilik, təcrübə və
səriştəsini təsdiq edən müvafiq sənədləri təqdim etməlidir. Namizədlər ən azı təhlükəsizlik
texnologiyası, kriptoqrafiya, elektron imzanın idarə edilmə infrastrukturu, təhlükəsizliyin
qiymətləndirilməsi üzrə texniki normalar, informasiya sistemləri üzrə təcrübəyə malik
olmalıdırlar. Namizədi vəzifəyə uyğun olub-olmamasını müəyyənləşdirmək üçün
qabaqcadan yoxlama aparılır.
6.3.2 Kadrların yoxlanması proseduru
Namizədin vəzifəyə uyğunluğu onun müvafiq qanunvericilik, etik davranış qaydaları,
fəaliyyət tələbləri, üzərinə götürdüyü öhdəliklərə əsasən müəyyənləşdirilir. Məsul şəxslərin
fəaliyyətinin bu Qaydaların tələblərinə uyğunluğu ASXM tərəfindən vaxtaşırı
yoxlanılacaqdır.
6.3.3 Təlim tələbləri
ASXM-in işçi heyətinə vəzifələrinin icrasına başlamadan əvvəl aşağıdakı sahələrdə təlim
keçirilməlidir:
Fəaliyyət və təhlükəsizlik prinsipləri;
İnformasiya sisteminin proqram təminatından istifadə qaydaları;
Vəzifə təlimatları;
Qəza hallarında işin bərpası və davamlığı proseduru.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 29/44
6.3.4 Hazırlıq üzrə təkrar təlimlər
ASXM-in işçi heyətinə ilkin təlimlərdən sonra bu Qaydaların 6.3.3-cü bəndində
nəzərdə tutulmuş sahələr üzrə növbəti təlimlər mütəmadi olaraq, lakin ildə 1 (bir)
dəfədən az olmayaraq keçirilməlidir.
6.3.5 İşçi heyətə verilən sənədlər
ASXM işçi heyətə (məsul şəxslər də daxil olmaqla) vəzifələrini bacarıqla və lazımi
səviyyədə yerinə yetirmək üçün tələb olunan zəruri təlimlər keçməli və onları müvafiq
sənədlərlə təmin etməlidir.
6.4 Audit-loqların aparılma proseduru
Jurnala daxil edilən bütün qeydlər aşağıdakı elementlərə malik olmalıdır:
Qeydin tarixi və zamanı;
Qeydin seriya və sıra nömrəsi (avtomatik jurnal qeydləri üçün);
Qeydin növü;
Qeydin mənbəyi (məsələn: terminal, port, məkanı, istehlakçı və s.);
Qeyd aparanın eyniləşdirmə nömrəsi.
6.4.1 Qeydə alınan hadisələrin növləri
Aşağıdakılar da daxil olmaqla bütün qeydiyyat məlumatları qeydə alınır.
6.4.1.1 Qeydiyyat məlumatı
Qeydiyyat üçün ərizəçinin təqdim etdiyi sənədlərin növü;
Unikal eyniləşdirmə məlumatı;
İmzalanmış müqavilə də daxil olmaqla ərizənin və şəxsiyyət vəsiqələrinin nüsxələrinin
ehtiyat saxlama yeri;
İmza sahibinin ərizəsindəki hər hansı spesifik seçimlər (məsələn, sertifikatın
yayımlanmasına razılıq);
Ərizəni qəbul edən qurumun eyniləşdirilməsi;
Qəbul edən QM-in adı.
6.4.1.2 Sertifikatın yaradılması
ASXM-in açarlarının fəaliyyət dövrü ilə bağlı bütün hadisələrin audit-loqlarını aparır;
ASXM tərəfindən verilən sertifikatların fəaliyyət dövrü ilə bağlı bütün hadisələrin audit-
loqlarını aparır.
6.4.1.3 SSCD-nin idarə olunması
ASXM tərəfindən yaradılan açarların fəaliyyət dövrü ilə bağlı bütün hadisələrin audit
loqlarını aparır;
ASXM SSCD-lərin (sertifikat daşıyıcısı və HSM-lərə aid) fəaliyyət dövrü ilə bağlı bütün
hadisələrin, o cümlədən onların hazırlanması, paylanılması və məhv edilməsinin audit-
loqlarını aparır.
6.4.1.3 Ləğvetmənin idarə olunması
ASXM dayandırma, bərpa və ləğvetmə ilə bağlı bütün hadisələrin auditloqlarını aparır.
6.4.2 Audit-loqların aparılma mütəmadiliyi
Audit-loqlar ASXM-in müvafiq məsul şəxsi tərəfindən həftədə ən azı 1 (bir) dəfə
yoxlanılır və bütün mühüm hadisələr audit-loqun icmalında şərh olunur. Bu yoxlama
loqa müdaxilə edilmədiyinə əmin olmaq, bütün loq qeydlərini nəzərdən keçirmək, hər hansı
xəbərdarlıq və ya pozuntuları daha ətraflı araşdırmaq üçün aparılır. Yoxlamadan
sonrakı bütün addımlar sənədləşdirilir.
6.4.3 Audit-loqun saxlanma müddəti
Audit-loq ən azı 2 (iki) ay saxlanılır və sonra bu Qaydaların 6.5.2-ci bəndinə müvafiq
qaydada arxivləşdirilir.
6.4.4 Audit-loqun mühafizəsi
Audit-loq faylları icazəsiz daxilolma, dəyişdirilmə, məhv edilmə və müdaxilədən qoruma
mexanizminə malik elektron audit-loq sistemi ilə mühafizə olunur. Elektron audit-loq
sistemi vaxt göstəricisinin qoyulmasını da əhatə edir. Kağız audit məlumatları da icazəsiz
daxilolma, dəyişdirilmə, məhv edilmədən mühafizə edilməlidir.
6.4.5 Audit-loqun ehtiyat surətlərinin yaradılma proseduru
Audit-loqun artan (incremental) ehtiyat nüsxəsi hər gün və tam (ful) nüsxəsi isə hər həftə
yaradılır.
6.4.6 Audit sistemi
Audit məlumatları avtomatik olaraq proqram, şəbəkə və əməliyyat sistemi səviyyələrində
yaranır və qeyd edilir. Yaradılmış qeyri-elektron audit məlumatları isə ASXM-in məsul şəxsi
tərəfindən qeydə alınır.
6.4.7 Hadisə barədə bildiriş
Audit sistemi tərəfindən qeydə alınmış hadisələr barədə səbəbkar şəxsə və/və ya təşkilata
bildiriş göndərilmir.
Müntəzəm olaraq çatışmazlıqların qiymətləndirilməsi jurnalda qeyd edilmiş hadisələrin
təhlükəsizliyinin müəyyənləşdirilməsini və lazımi tədbirlərin görülməsini təmin edir.
6.4.8 Çatışmazlığın qiymətləndirilməsi
Hadisələrin audit-loqlarından sistemin çatışmazlıqlarının monitorinqi üçün istifadə edilir.
Aşkar edilən çatışmazlıqlar təhlükəsizlik baxımından yoxlanılır, qiymətləndirilir və aradan
qaldırılır. Bu, real vaxt rejimində avtomatik aparılan loq məlumatları əsasında gündəlik,
aylıq və illik olaraq yerinə yetirilir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 31/44
6.5 Sertifikat xidmətləri ilə bağlı qeydlərin arxivləşdirilməsi
6.5.1 Arxivləşdirilmiş qeydlərin növü
ASXM-in sertifikat xidmətləri ilə bağlı qeydləri arxivləşdirilir və bu Qaydaların 6.5.2-ci
bəndində göstərilən müddətdə saxlanılır.
6.5.2 Arxivin saxlanma müddəti
ASXM-in sertifikat xidmətləri ilə bağlı qeydlər 15 (on beş) il müddətinə saxlanılır. Bu
müddət xüsusi sənəd və məlumatlar üçün artırıla bilər.
6.5.3 Arxivin qorunması
Arxivlər daxilolmaya nəzarət sistemləri ilə mühafizə olunan ayrıca yerdə yerləşdirilir. Bu
Qaydaların 6.5.2-ci bəndində müəyyən olunmuş müddət ərzində saxlanılan arxiv
məlumatlarından istifadə edilə bilməsi üçün arxiv məlumatlarının məlumat daşıyıcıları və
onların emal proqramları işlək vəziyyətdə saxlanmalıdır.
6.5.4 Arxivlərin ehtiyat surətlərinin yaradılma proseduru
Arxivin oflayn ehtiyat surətlərinin yaradılması proseduru ilkin arxivlər itirildikdə
və ya məhv olduqda qısa müddət ərzində onu tam bərpa etmək üçün istifadə edilə
biləcək ehtiyat surətin yaradılmasından ibarətdir.
6.5.5 Vaxt göstəricisi ilə bağlı tələblər
Verilənlər bazasına daxil edilən yazılar dəqiq tarix və zaman məlumatına malik olmalıdır. Bu
vaxt göstəricisi şifrlənməməlidir.
6.5.6 Arxiv sistemi
ASXM daxili arxiv sistemindən istifadə edir.
6.5.7 Arxivdən məlumatların əldə edilməsi və yoxlanılması
Yalnız səlahiyyətli məsul şəxslər arxivə giriş əldə edə bilərlər. Arxivdən əldə edilmiş sənəd
və məlumatlar geri qaytarılarkən onların tamlığı yoxlanılır.
6.6 Konfidensiallığın pozulması və qəza hallarında bərpa
6.6.1 Hadisələrin və konfidensiallığın pozulmasının idarə olunma proseduru
ASXM ayrıca yerdə saxlanılan aşağıdakı məlumatların ehtiyat surətlərindən
konfidensiallığın pozulması və qəza hallarında istifadə edəcəkdir:
Sertifikat ərizələrinin məlumatları, audit məlumatları və bütün verilmiş sertifikatların
verilənlər bazası.
İnformasiya təhlükəsizliyi hadisələri və ASXM-in yaradılmış imzalarının konfidensiallığının
pozulması hallarının idarə olunması proseduru ASXM-in qəza hallarında bərpa planında
göstərilir. Bu planda hadisələrə uyğun olaraq onların idarə olunması proseduru və
məsuliyyət əks etdirilir. Bu planın əsas məqsədi sertifikat xidmətlərinin dərhal bərpa
olunması və təhlükəsizliyin davamlı olaraq təmin edilməsidir.
6.6.2 Korlanmış hesablama resurslarının bərpası
Resursların, proqram təminatının və verilənlərin güman edilən və ya faktiki
konfidensiallığının pozulması hallarında müvafiq bərpa proseduru (bu Qaydaların 6.6.4-cü
bəndinə müvafiq olaraq) həyata keçirilir.
6.6.3 ASXM-in konfidensiallığı pozulmuş yaradılmış imzası ilə bağlı prosedurlar
ASXM-in yaradılmış imzasının konfidensiallığı pozulduqda və ya buna şübhə yarandıqda
ASXM aşağıdakıları təmin edir:
İmza sahiblərini, əlaqədə olduğu SM-ləri və üçüncü tərəfi məlumatlandırır;
Konfidensiallığı pozulmuş imzadan istifadə edilməsinin qarşısını almaq üçün
sertifikatların verilməsi və CRL-in yayımlanması üzrə göstərilən xidmətləri dayandırır.
ASXM-in işçi heyəti tərəfindən istifadə edilən yaradılmış imzalardan hər hansının
konfidensiallığı pozulduqda və ya buna şübhə yarandıqda bu barədə dərhal məsul şəxs
məlumatlandırılmalı və sertifikatın ləğvetmə sorğusu verilməlidir. İmza sahibinə məxsus
yaradılmış imzanın konfidensiallığı pozulduqda və ya buna şübhə yarandıqda bu barədə
dərhal ASXM və üçüncü tərəf məlumatlandırılmalı və sertifikatın ləğvetmə sorğusu
verilməlidir.
6.6.4 Qəzadan sonra işin davamlığı imkanları
İnformasiya sistemlərinin qaynar ilkin quraşdırılmasının həyata keçirilməsi ilə ASXM-in
sertifikat xidmətləri göstərməsi imkanı yüksək səviyyədə təmin olunur.
Hesablama resursları, proqram təminatı və məlumatları itirildikdə və ya korlandıqda ASXM
qəza hallarında bərpa planına müvafiq tədbirlər görür. Bu planda ASXM-in bu Qaydalara
uyğun xidmətlər göstərməsi üçün digər coğrafi ərazidə yerləşən əməliyyat vasitələri də
nəzərdə tutula bilər.
Sertifikatın qüvvəsinin dayandırılması və ya ləğvi, sertifikatın etibarlılığının yoxlanması və
CRL-lərin dərci kimi əsas xidmətlər ən geci 4 (dörd) saat ərzində bərpa edilir. Tam
funksionallıq 72 (yetmiş iki) saat ərzində təmin olunacaqdır. Planda bu vasitələrin
hazırlığının tam və ya vaxtaşırı sınaqdan keçirilməsi imkanı nəzərdə tutulmalıdır. Planda
müvafiq sənədlərə istinad edilir və o, səlahiyyətli şəxslər tərəfindən təftiş edilə bilər.
6.7 ASXM-in fəaliyyətinə xitam verilməsi
ASXM-in fəaliyyətinə xitam vermək zəruriyyəti yarandıqda, qüvvədə olan sertifikatlara
malik imza sahiblərinə, Milli Sertifikat Xidməti Mərkəzinə bu barədə xəbər verilir və onlara
göstərilən xidmətlərdə fasilənin minimuma endirilməsi üçün xüsusi xitam planı hazırlanır.
Bu planda əsasən aşağıdakılar nəzərdə tutulur:
İmza sahiblərinə və Milli Sertifikat Xidməti Mərkəzinə orqanına bildiriş göndərilməsi;
ASXM-in sertifikatının ləğvi;
Verilmiş sertifikatlar, onlarla və sertifikat sorğuları ilə bağlı məlumatların, onların
arxivlərinin başqa SM-ə və ya müvafiq icra hakimiyyəti orqanına təhvil verməsi;
İmza sahiblərinə dəstək xidmətlərinin davam etdirilməsi;
CRL-lərin dərci kimi ləğvetmə xidmətlərinin və ya statusun real vaxt rejimində
yoxlanılması xidmətlərinin davam etdirilməsi;
Fərdi məlumatların konfidensiallığının mühafizə olunması.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 33/44
7 Texniki təhlükəsizlik nəzarəti
7.1 İmza cütünün yaradılması və ilkin quraşdırılması
7.1.1 İmza cütünün yaradılması
ASXM-də imza cütü səlahiyyətli və səriştəli məsul şəxslər tərəfindən təhlükəsiz informasiya
sistemi və proseslərdən istifadə edərək, konfidensiallıq və şifrlənmə səviyyəsi təmin
olunaraq yaradılır.
ASXM imzasının yaradılması və yadda saxlanılması üçün nəzərdə tutulan LUNA SA.
SAFENET 3 ilə sertifikatlaşdırılmış HSM-də (texniki avadanlığın təhlükəsizlik modulu)
hazırlanacaq və saxlanılacaqdır.
ASXM-də ərizəçilər üçün yaradılan açar cütü təhlükəsizlik tələblərinə cavab verən sertifikat
daşıyıcılarına yazılır.
7.1.2 Yaradılmış imzanın imza sahibinə verilməsi
İmza cütü yazılmış sertifikat daşıyıcısı sahibinə müvafiq QM-də verilir. ASXM-də bu
prosesin qeydiyyatı aparılır və audit-loqlarda müvafiq qeydlər edilir. Sertifikat daşıyıcısı
QM operatoru tərəfindən imza sahibinə (və ya onun notarial və ya notarial qaydaya bərabər
tutulan qaydada təsdiq edilmiş nümayəndəsinə) şəxsən təqdim edilir.
7.1.3 Yoxlanılmış imzanın üçüncü tərəfə çatdırılması
ASXM bütün yoxlanılmış imzaları sahə xidməti vasitəsilə yayımlanaraq imza sahibinə
çatdırılır. İmza yaradılması zamanı ASXM-in informasiya sistemi imza sahibinin
sertifikatının mərkəzin yoxlanılmış imzasından istifadə edilərək təsdiq olunma imkanını
yoxlayır. İmza sahibinin razılığı ilə onun sertifikatı yüklənmək üçün sertifikat bazasında
yerləşdirilə bilər.
7.1.4 İmzaların ölçüsü
Açar Ölçü
ASXM-in Gizli açarı 2048 bit
İmza sahibinin Gizli açarı 2048 bit
İmza sahibinin autentifikasiya açarı 2048 bit
RSA 1024Bit/2048 Bit (PKCS#1) kriptoqrafik alqoritmindən istifadə olunmuşdur.
7.2 Yaradılmış imzanın mühafizəsi
7.2.1 Kriptoqrafik modul üçün standartlar
ASXM tərəfindən istifadə olunan HSM FIPS 140-2, 3-cü səviyyə göstəricilərinə cavab verir.
İmza sahiblərinin imza cütünün daşıyıcısı və SSCD kimi istifadə olunan sertifikat daşıyıcısı
EAL4+ və ümumi meyarlarla (ISO/IEC 15408) qiymətləndirilən təhlükəsizlik tələblərinə
uyğundur.
7.2.2 Yaradılmış imzaya bir neçə şəxsin nəzarəti
ASXM həssas kriptoqrafik əməliyyatları yerinə yetirmək üçün bir neçə məsul şəxsin
iştirakını tələb edən texniki və prosedur mexanizmlərini tətbiq edir. Bu şəxslərdən heç biri
təklikdə hər hansı yaradılmış imzadan istifadə etmək üçün lazım olan giriş kodlarına tam
sahib deyil. ASXM-in yaradılmış imzasına giriş əldə etmək üçün 3 şəxsdən 3-nün mütləq
iştirakı lazımdır.
7.2.3 Yaradılmış imzanı saxlamaq üçün başqasına verilməsi
İmza sahibinin və ya ASXM-in yaradılmış imzası saxlamaq üçün başqasına verilə bilməz.
7.2.4 Yaradılmış imzanın ehtiyat nüsxəsi
Avadanlıqlardakı texniki nasazlıqlar, enerji təchizatının qəza kəsilməsi nəticəsində açarın
itirilməsi hallarının qarşısının alınması üçün ASXM-in yaradılmış imzasının ehtiyat surəti
yaradılır və təhlükəsizlik şəraitində saxlanılır. ASXM-in yaradılmış imzalarının ehtiyat
surətinin konfidensiallığı qorunmalı və onların tamlığı, autentikliyi saxlanılmalıdır.
Yaradılmış imzalar təkrar açar yaratma sertifikat daşıyıcısı dəstindən istifadə edilərək
yaradılır. İmzanın yaradılması fiziki baxımdan təhlükəsiz yerdə iki məsul şəxsin nəzarəti
altında aparılır və prosedur sənədləşdirilir.
İmza sahibinin yaradılmış imzası sertifikat daşıyıcısında yaradılır və saxlanılır. O, sertifikat
daşıyıcısından çıxarılmır və ehtiyat surəti yaradılmır.
7.2.5 Yaradılmış imzanın arxivləşdirilməsi
ASXM-in yaradılmış imzasının arxivləşdirilməsi aparılmır və onun qüvvədə olma müddəti
bitdikdə bu Qaydalara uyğun olaraq təhlükəsizlik təmin edilməklə məhv edilir.
7.2.6 Yaradılmış imzanın kriptoqrafik modula ötürülməsi
ASXM-in açar cütü istifadə olunacağı HSM-də yaradılır. İmza sahibinin sertifikatları 3-cü
növ SSCD olan sertifikat daşıyıcısında yaradılır və heç bir kriptoqrafik modullardan və ya
modullara ötürülmür.
7.2.7 Yaradılmış imzanın kriptoqrafik modulda saxlanması
ASXM-in yaradılmış imzası HSM-də şifrlənmiş formada saxlanılır. İmza sahibinin
sertifikatları sertifikat daşıyıcısında saxlanılır və daşıyıcıdan çıxarılmır.
7.2.8 Yaradılmış imzanı aktivləşdirmə metodu
ASXM-in yaradılmış imzasının aktivləşdirilməsi giriş və PİN-in yoxlanmasını və ya xüsusi
təhlükəsizlik parametrlərinə uyğun giriş frazasını tələb edir.
Sertifikat daşıyıcısında yaradılmış imzadan istifadə PİN-in daxil edilməsini tələb edir:
- Ümumilikdə, təkmil sertifikatlar üçün yaradılmış imza PİN vasitəsilə qorunur.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 35/44
Bir imzanın yaradılması məqsədilə PİN-in daxil edilməsi təkmil imza üçün yaradılmış
imzanı aktivləşdirir (imzanın hər yaradılması üçün hər dəfə PİN-in daxil edilməsi tələb
olunur);
- Eyniləşdirmə üçün yaradılmış imza PİN vasitəsilə qorunur. PİN sessiya üçün yaradılmış
imzanı aktivləşdirir.
7.2.9 Yaradılmış imzanın məhv edilmə qaydası
Sertifikatın qüvvədə olma vaxtı başa çatdıqda və ya sertifikat ləğv olunduqda ASXM
tərəfindən yaradılmış imza məhv edilir. Yaradılmış imzalar onların itməsi, oğurlanması,
dəyişdirilməsi, səlahiyyətsiz açıqlanması və ya istifadəsinin qarşısını alan yolla məhv edilir.
Sertifikat daşıyıcısındakı yaradılmış imzanın məhv edilməsi bilavasitə həmin sertifikat
daşıyıcısının fiziki dağıdılması yolu ilə həyata keçirilir. İmza sahibləri malik olduqları
sertifikat daşıyıcısını təhlükəsiz məhv edilmə üçün ASXM-ə qaytara bilərlər.
7.2.10 Kriptoqrafik modulun səviyyəsi
Bu Qaydaların 7.2.1-ci bəndinə baxın.
7.3 İmza cütünün idarə olunmasının digər məqamları
7.3.1 Yoxlanılmış imzanın arxivləşdirilməsi
Bütün verilmiş sertifikatlar ASXM-in ehtiyat surətinin yaradılması proseduru, o cümlədən
arxivləşdirmə vasitəsilə saxlanılmalıdır.
7.3.2 Sertifikatın və imza cütünün istifadə müddətləri
Sertifikatdan qüvvədə olma vaxtı bitənədək və ya ləğv edilənədək istifadə etmək olar. İmza
cütünün istifadəsi əlaqəli olduğu sertifikatın istifadə müddəti ilə məhdudlaşır, lakin
yoxlanılmış imza ilə həmin müddətdən sonra da imza yoxlanılması aparıla bilər.
Sertifikatların maksimum istifadə müddəti aşağıdakı cədvəldə göstərilib:
Sertifikat Etibarlılıq müddəti
ASXM sertifikatı 6 il
İmza sahibinin təkmil sertifikatı 5 il
İmza sahibinin eyniləşdirmə sertifikatı 3 il
OCSP-responderin sertifikatı 10 il
Tətbiq edilən kriptoqrafik alqoritm və parametrlərin uyğunluğuna ASXM tərəfindən daim
nəzarət edilir. Əgər sertifikatın qüvvədə olma müddətində alqoritm və ya imza uzunluğunun
təhlükəsizlik baxımından qənaətbəxş olmaması müəyyənləşdirilərsə, sertifikatın ləğvi və
yeni sertifikatın əldə edilməsi həyata keçirilir.
7.4 Aktivləşdirmə məlumatı
7.4.1 Aktivləşdirmə məlumatının yaradılması və ilkin quraşdırılması
Yaradılmış sertifikat daşıyıcısına giriş kodu kimi PİN istifadə olunur. Giriş kodu və sertifikat
daşıyıcısı imza sahibinə QM tərəfindən təqdim olunur.
7.4.2 Aktivləşdirmə məlumatının mühafizəsi
İmza sahibi yaradılmış imzanın aktivləşdirmə məlumatlarını mühafizə etməli, onların itməsi,
oğurlanması, dəyişdirilməsi, digər şəxslərə bəlli olması və ya səlahiyyətsiz istifadəsinin
qarşısını almalıdır.
Təhlükəsizlik baxımından aktivləşdirmə məlumatlarının hər hansı bir yerə yazılmadan yadda
saxlanılaraq istifadəsi məqsədəuyğundur. Əgər yazıb istifadə edilərsə, bu məlumatlar
kriptoqrafik modulla əlaqəli olan məlumat kimi mühafizə olunmalıdır.
7.4.3 Aktivləşdirmə məlumatları ilə bağlı digər məqamlar
7.4.3.1 Aktivləşdirmə məlumatlarının ötürülməsi
Yaradılmış imzaların aktivləşdirmə məlumatları ötürülərkən onların itməsi, oğurlanması,
dəyişdirilməsi, digər şəxslərə bəlli olması və ya səlahiyyətsiz istifadəsinin qarşısının
alınmasını təmin edən üsullar tətbiq edilməlidir.
7.4.3.2 Aktivləşdirmə məlumatlarının məhv edilməsi
ASXM tərəfindən yaradılmış imzanın aktivləşdirmə məlumatlarının məhvi üçün onların
itməsi, oğurlanması, dəyişdirilməsi, digər şəxslərə bəlli olması və ya səlahiyyətsiz
istifadəsinin qarşısının alınmasını təmin edən üsullar tətbiq edilməlidir.
7.5 Vaxt göstəricisi
ASXM vaxt göstəricilərinin qeyd edilməsini təmin edən vaxt möhürü mərkəzinə malikdir.
Vaxt möhürü mərkəzi TS 101 861 v1.2.1-lə müəyyənləşdirilən profildən və TSP
protokolundan istifadə edir. Ətraflı məlumat üçün ASXM-in vaxt göstəricilərinin qeyd
edilmə siyasəti və vaxt göstəricilərinin qeyd edilmə qaydalarına baxın.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 37/44
8 Sertifikat və CRL profilləri
8.1 Sertifikat profilləri
ASXM-in sertifikatında və ASXM tərəfindən verilən təkmil sertifikatlarda aşağıdakı əsas
sahələr göstərilməlidir:
- X.509 versiyası;
- Sertifikatın seriya nömrəsi;
- İmza alqoritminin identifikatoru;
- Sertifikat verən qurumun adı;
- Sertifikatın etibarlılıq müddəti;
- Subyektin adı;
- Subyektin açıq açarı haqqında məlumat.
Subyekt dedikdə, Açıq açara uyğun Gizli açara nəzarət edən tərəf başa düşülür. Sertifikat
profilləri bu Qaydalarda təsvir olunmuşdur.
ASXM tərəfindən verilən bütün elektron Sertifikatlar RFC 3280-də müəyyən olunmuş
elektron Sertifikat və CRL profillərinə uyğun olmalıdır.
8.1.1 Versiya nömrəsi
ASXM-in Sertifikatında və ASXM tərəfindən verilən təkmil Sertifikatlar “IETF RFC 3280
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL)
Profile, April 2002” tövsiyələrində müəyyənləşdirilmiş X.509 v3 versiyasını dəstəkləyir.
8.1.2 Sertifikat genişlənmələri
ASXM bu Qaydaların tələb etdiyi və RFC 3280 tövsiyələrində təyin olunmuş genişlənmələri
ehtiva etməlidir. Digər istifadə olunan genişlənmələr qeyri-kritik olmalı və bu Qaydalardakı
Setifikat və CRL profilləri ilə ziddiyyət təşkil etməməlidir.
ASXM-in Sertifikatında Genişlənmələrə aşağıdakı sahələr aiddir:
- Açarın istifadəsi;
- Əsas məhdudiyyətlər;
- Subyektin açarının identifikatoru;
- SXM-in versiyası;
- Sertifikat siyasəti;
- Mərkəz açarı identifikatoru;
- CRL paylanma nöqtələri;
- Mərkəz haqqında məlumata müraciət;
- Genişləndirilmiş açar istifadəsi.
ASXM tərəfindən verilən təkmil Sertifikatlarda Genişlənmələrə aşağıdakı sahələr aiddir:
- Açarın istifadəsi;
- Subyektin açarının identifikatoru;
- Sertifikat siyasəti;
- Mərkəz açarı identifikatoru;
- CRL paylanma nöqtələri;
- Mərkəz haqqında məlumata müraciət;
- Genişləndirilmiş açar istifadəsi;
- Subyektin alternativ adı;
- Sertifikat şablonu üzrə məlumatlar;
- Təkmil Sertifikat tələbləri;
- Proqram Siyasətləri.
8.1.3 ASXM-in CRL profile
ASXM-in CRL profilinə aşağıdakı sahələr aiddir:
- X.509 versiyası;
- Sertifikat verən qurumun adı;
- Qüvvədə olma tarixi;
- Növbəti yenilənmə tarixi;
- İmza alqoritminin identifikatoru;
- Ləğv edilmiş Sertifikatların:
Seriya nömrəsi;
Ləğvetmə tarixi;
CRL səbəb kodu.
8.1.3.1 Versiya nömrəsi
ASXM-in CRL profili “IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate
and Certificate Revocation List (CRL) Profile, April 2002” tövsiyələrində
müəyyənləşdirilmiş X.509 v2 versiyasını dəstəkləyir.
8.1.3.2 CRL genişlənmələri
ASXM-in CRL genişlənmələrinə aşağıdakı sahələr aiddir:
- Mərkəz açarı identifikatoru;
- SXM-in versiyası;
- CRL nömrəsi;
- Növbəti CRL-in dərci;
- Ən yeni CRL.
8.1.4 ASXM-in delta CRL-i
ASXM-in delta CRL profilinə aşağıdakı sahələr aiddir:
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 39/44
- X.509 versiyası;
- Sertifikat verən qurumun adı;
- Qüvvədə olma tarixi;
- Növbəti yenilənmə tarixi;
- İmza alqoritminin identifikatoru;
- Ləğv edilmiş Sertifikatların:
Seriya nömrəsi;
Ləğvetmə tarixi;
CRL səbəb kodu.
8.1.4.1 Versiya nömrəsi
ASXM-in delta CRL profili “IETF RFC 3280 Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile, April 2002” tövsiyələrində
müəyyənləşdirilmiş X.509 v2 versiyasını dəstəkləyir.
8.1.4.2 CRL genişlənmələri
ASXM-in delta CRL profilinin genişlənmələrinə aşağıdakı sahələr aiddir:
- Mərkəz açarı identifikatoru;
- SXM-in versiyası;
- CRL nömrəsi;
- Növbəti CRL-in dərci;
- Delta CRL indikatoru.
9 Uyğunluq auditi və digər yoxlamalar ASXM-in sertifikat xidmətləri göstərməsi üçün informasiya sisteminin təhlükəsizliyinin
auditi keçirilməlidir. Audit qanunvericiliyə və bu Qaydalara uyğun olaraq, ASXM-in
fəaliyyətə başladığı müddət nəzərə alınmaqla, hər il keçirilir.
Audit zamanı aşağıdakı sənədlər nəzərdən keçirilir:
Fiziki təhlükəsizlik;
Texnoloji qiymətləndirmə;
ASXM-in idarəçiliyi (o cümlədən, fiziki və ətraf mühitin təhlükəsizliyi, açar
əməliyyatlarının və sertifikatın fəaliyyət dövrünün idarə olunması);
İşçi heyətin seçilməsi;
Müvafiq ASXM-in Sertifikat Siyasəti və Sertifikatın Tətbiqi Qaydaları;
Müqavilələr;
Məlumatın mühafizəsi və konfidensiallığının qorunması;
Qəza hallarında bərpa planı.
Audit zamanı aşkara çıxarılmış mühüm uyğunsuzluq və ya çatışmazlıqların aradan
qaldırılması üçün ASXM tərəfindən tədbirlər müəyyənləşdirilir. Bu tədbirlərin icra
olunmasına ASXM-in rəhbərliyi cavabdehdir.
Audit barədə məlumat http://www. ünvanında yerləşdirilə bilər.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 41/44
10 Digər işlər və hüquqi məsələlər
10.1 Ödənişlər
10.1.1 Sertifikatın idarə olunması haqqı
ASXM sertifikatın verilməsi və yenilənməsini ödəniş əsasında həyata keçirir və bu
xidmətlərin qiymət cədvəli http://www. ünvanında yerləşir.
10.1.2 Sertifikatın etibarlılığının yoxlanılması haqqı
ASXM sertifikatın etibarlılığının yoxlanılmasını ödənişsiz həyata keçirir.
10.2 Maliyyə məsuliyyəti
ASXM-in imza sahibləri qarşısında məsuliyyəti və belə məsuliyyətin yuxarı həddi
imzalanmış müqaviləyə əsasən müəyyənləşdirilir. Bu halda müqavilədə bu qaydalara istinad
edilir.
ASXM imza sahibləri, üçüncü tərəf və digər qurumlar qarşısında yalnız qəbul olunmuş bu
qaydalarda müəyyən edilmiş çərçivədə məsuliyyət daşıyır.
ASXM-in imza sahibləri qarşısındakı məsuliyyətinin yuxarı həddi imza sahiblərinin hamısı
üçün eynidir.
10.3 Fəaliyyətlə bağlı məlumatların konfidensiallığı
10.3.1 Konfidensial saxlanılan məlumat növləri
10.3.1.1 Fəaliyyət və quruluş sənədləri
ASXM fəaliyyəti və quruluşu, həmçinin sertifikatının etibarlılığının yoxlanması ilə bağlı
məqamlar barədə məlumatlar əks olunan həssas daxili sənədləri, məsləhət və audit
məqsədləri üçün istifadə istisna olmaqla, konfidensial saxlayır.
10.3.1.2 Audit məlumatları
ASXM fəaliyyəti və sertifikatın etibarlılığının yoxlanılması ilə bağlı bütün audit məlumatları
qanunvericiliklə müəyyən edilmiş hallar istisna olmaqla konfidensial saxlayır. ASXM öz
qərarına və ya qanunvericiliyin tələblərinə müvafiq olaraq saytında audit barədə qısa icmal
dərc edir.
Qanunvericiliyin tələblərinə əsasən lazım olarsa audit məlumatları haqqında çıxarış tam
şəkildə “ASXM-in Sertifikat Siyasəti”nin 7.1.4 və 7.1.5-ci bəndlərinə uyğun olaraq verilə
bilər.
10.3.1.3 Fərdi məlumatların konfidensiallığı
ASXM tərəfindən toplanan, işlənilən və ya istifadə edilən fərdi məlumatların
konfidensiallığı bu qaydaların 10.4-cü bəndinə müvafiq olaraq təmin olunur.
10.3.2 Konfidensial sayılmayan məlumat növləri
10.3.2.1 Sertifikat və onun statusu haqqında məlumatlar
ASXM tərəfindən nəşr edilmiş bütün sertifikatlar yayımlana bilər. ASXM-in verdiyi
sertifikatların statusu haqqında məlumatlar “ASXM-in Sertifikat Siyasəti”nə, “ASXM-in
Sertifikatın Tətbiqi Qaydaları”na əsasən sertifikatın etibarlılığının yoxlanması xidmətlərinə
müraciət imkanı olan hər kəs üçün açıqdır.
10.3.2.2 ASXM-in sənədləri
ASXM-in aşağıdakı sənədləri konfidensial sayılmır və ictimaiyyətə açıqlanır:
- Təsdiq olunmuş Sertifikat Siyasəti və Sertifikatın Tətbiqi Qaydaları;
- Dərc olunmaq üçün məqbul sayılan digər sənədlər.
10.3.3 Sertifikatın ləğvi məlumatlarının açıqlanması
ASXM-in sertifikatı ləğv edildikdə onun səbəbi açıqlana bilər. Sertifikatın ləğvi və ya
sertifikatın etibarlılığının yoxlanılması haqqında məlumatlar OCSP-responder və CRL-dən
istifadə edərək açıqlanır. ASXM-in yoxlama xidmətləri barəsində sorğu verilmiş sertifikatın
etibarlı olub-olmadığını, ləğv edildiyini və ya qüvvəsinin dayandırıldığını, ya da statusu
barədə məlumatın olmamasını müəyyənləşdirməyə imkan verir. Digər hər hansı məlumat
açıqlanmır.
10.3.4 Hüquq-mühafizə orqanına çıxarışın verilməsi
Aşağıdakı hallar istisna olmaqla, ASXM saxladığı heç bir sənədi və ya qeydi hüquq
mühafizə orqanlarına və ya əməkdaşlarına verə bilməz:
- müvafiq qaydada sorğu verildikdə;
- digər hüquqi prosedurlara əməl edildikdə.
10.3.5 Mülki iş üzrə sübut və ya araşdırma məqsədilə çıxarışın verilməsi
Aşağıdakı hallar istisna olmaqla, konfidensial sənəd və ya qeyd heç kimə verilmir:
- Düzgün (məsələn, bütün hüquqi prosedurlara müvafiq) doldurulmuş sorğu verildikdə;
- Sorğu verən şəxs səlahiyyətli və dəqiq eyniləşdirilən olarsa.
ASXM mülki iş üzrə sübut və ya araşdırma məqsədilə sorğu edilən məlumatları müvafiq
qanunvericilik tələblərinə uyğun prosedurlara riayət edərək təqdim etməlidir. Bunun üçün
qanunvericiliyə müvafiq olan və təsdiq edilmiş daxili prosedurlar işlənilə bilər.
10.4 Fərdi məlumatların konfidensiallığı
ASXM tərəfindən toplanan, işlənilən və ya istifadə edilən fərdi məlumatların
konfidensiallığı “Fərdi məlumatlar haqqında” və “Elektron imza və elektron sənəd
haqqında” Azərbaycan Respublikasının Qanunlarına müvafiq olaraq mühafizə olunur. Fərdi
məlumatlar yalnız qanunvericilikdə nəzərdə tutulmuş hallarda üçüncü tərəfə verilə bilər.
10.4.1 Konfidensial saxlanılan məlumatlar
ASXM fərdi məlumatların toplanması, işlənilməsi və istifadəsini “Fərdi məlumatlar
haqqında” Azərbaycan Respublikasının Qanununa və bu Qaydalara və “ASXM-in Sertifikat
Siyasəti”nin tələblərinə müvafiq olaraq həyata keçirir.
ASXM-in Sertifikatın Tətbiqi Qaydaları 0.1
_____.2013 43/44
Məlumatın aid olduğu şəxs və ya qurum tərəfindən açıqlanmasına birbaşa razılıq verilənə
qədər qeydiyyat məlumatları konfidensial məlumat sayılır.
10.4.2 Konfidensial sayılmayan məlumatlar
Qanunvericiliyə, ASXM-lə bağlanmış müqaviləyə uyğun olaraq imza sahibinin razılığı ilə
sertifikat və onun statusu barədə məlumatlar istifadə məqsədilə açıqlana bilər. Bu “ASXM-
in Sertifikat Siyasəti” və “ASXM-in Sertifikatın Tətbiqi Qaydaları”nda başqa hallar
müəyyən edilməmişdirsə, imza sahibi sertifikatı əldə edərkən sertifikatdakı məlumatı və
sertifikat xidmətlərinin göstərilməsi ilə bağlı digər məlumatları yayımlamaq üçün ASXM-ə
icazə verə bilər.
10.4.3 Konfidensial məlumatların mühafizəsi
ASXM-in bütün işçi heyəti və qurumları fərdi məlumatları mühafizə etməli, onların
konfidensiallığının pozulması və ya üçüncü tərəfə bəlli olmasının qarşısını almaq üçün
qanunvericiliyin tələblərinə riayət etməlidir.
10.4.4 Konfidensial məlumatlardan istifadə barədə xəbərdarlıq və razılıq
Bu Qaydalarda başqa hallar nəzərdə tutulmamışdırsa, konfidensial məlumat aid olduğu
şəxsin razılığı olmadan istifadə edilə bilməz.
10.4.5 Məhkəmə və inzibati proseslə bağlı açıqlama
ASXM konfidensial məlumatları məhkəmə sorğuları və məhkəmə qərarları əsasında
açıqlaya bilər.
10.5 Müəlliflik hüquqları
ASXM-in fəaliyyətinin təşkili ilə bağlı olan bütün sənədlərin, o cümlədən sertifikatların,
CRL-lərin, sertifikat statusu mesajlarının, sertifikat sahəsinin, həmçinin müqavilələrin
müəlliflik hüquqları da daxil olmaqla bütün müəlliflik hüquqları ASXM-ə məxsusdur.
10.6 Təmsilçilik və zəmanətlər
Tətbiq edilmir.
10.7 Məsuliyyət və məsuliyyətdən azad olma
ASXM bu Qaydalar əsasında sertifikat xidmətləri göstərəcəkdir. Aşağıdakılar da daxil
olmaqla, bu Qaydalarda əks olunan öhdəliklərdən başqa bütün digər öhdəliklər istisna edilir:
- Sertifikata daxil olan, lakin ASXM tərəfindən verilməyən və ya yoxlanılmayan məlumatın
düzgünlüyü və ya tamlığı;
- Bu Qaydalarda nəzərdə tutulmayan öhdəlik;
- ASXM-in idarəçiliyindən kənar məsələlər.
ASXM xəbərdarlıq edib-etməməsindən və ya onları qabaqcadan görmək imkanından asılı
olmayaraq, aşağıdakılardan irəli gələn hər hansı zərərə görə cavabdeh deyil:
- İmza sahibi və üçüncü tərəf arasındakı əməliyyatlar;
- bu Qaydalar ilə müəyyənləşdirilməmiş istifadə sahələri üzrə və ya məqsədlərlə kriptoqrafik
açarlara, elektron imzalara və ya sertifikat xidmətlərinə etibar edilməsi və onlardan istifadə;
- Üçüncü tərəf məhsulları və ya xidmətləri (proqram və texniki təminat da daxil olmaqla);
- hər hansı dolayı və ya birbaşa zərər.
10.8 Təzminat
ASXM-in fəaliyyəti nəticəsində İmza sahibinə vurulmuş maddi zərərin ödənilməsi imza
sahibi ilə mərkəz arasındakı müqaviləyə əsasən müəyyənləşdirilir. Bu məqsədlə sığortalama
imkanları da nəzərdə tutula bilər.
10.9 Qüvvədə olma və qüvvədən düşmə
10.9.1 Qüvvədə olma
Bu Qaydalar dərc edildiyi tarixdən sonra qüvvəyə minir.
10.9.2 Qüvvədən düşmə
Bu Qaydalar ona edilmiş əlavə və dəyişikliklərlə birgə növbəti versiyanın buraxılışına qədər
qüvvədədir.
10.10 Dəyişikliklər
10.10.1 ASXM-in Sertifikat Siyasətinin dəyişdirilməsi proseduru
Bu Qaydaların aparılması və təsdiqi üçün daxili prosedurlar müəyyən edilir. Bunun
nəticəsində Qaydaların cari fəaliyyətə tam uyğunluğu təmin edilir.
10.10.2 Məlumatlandırma mexanizmi və müddət
Bu Qaydaların cari versiyası ASXM-in İnternet səhifəsində yerləşdirilir.
10.10.3 OİD-də dəyişikliklər
Bu Qaydalara edilən dəyişikliklər zamanı cari versiya ilə ciddi fərqlər yaranarsa, yeni OİD
təyin edilir. Yeni OİD-in təyin edilməsi qərarı bu Qaydalara dəyişikliklərin edilmə prosesinin
tərkib hissəsidir.
10.11 Qaydaların iyerarxiyası
Bu Qaydalar ilə digər siyasətlər, planlar, razılaşmalar, müqavilələr və ya prosedurlar
arasında ziddiyyət yaransa, bu Qaydaların müddəaları əsas götürülür.
10.12 Qanunvericilik
Bu Qaydalar Azərbaycan Respublikasının qüvvədə olan qanunvericiliyinə əsasən
tənzimlənir.