Main content
Een Trust Service Provider (TSP) is een organisatie die PKIoverheidcertificaten uitgeeft. Een organisatie kan TSP worden door aan te sluiten op het PKIoverheid afsprakenstelsel. Commerciële partijen en overheden kunnen toetreden. De doorlooptijd van dit proces neemt enkele maanden tot een jaar in beslag. Toetreding is kosteloos. De TSP betaalt zelf de kosten voor implementatie van de gestelde eisen.
Voordelen van toetreding
- zelf uitgeven van hoogwaardig betrouwbare certificaten
- onbeperkt aantal certificaten uitgeven
- template certificaatprofielen beschikbaar voor specifieke use cases
- periodiek gebruikersoverleg met de Policy Authority en de andere stelseldeelnemers
- ondersteuning van PKIoverheid experts
Voorwaarden voor toetreding
- TSP voldoet aan de technische, organisatorische en juridische voorwaarden. Deze voorwaarden staan in het Programma van Eisen. PKIoverheid gaat na of de TSP aan alle geldende voorwaarden voldoet. Hiervoor leunt PKIoverheid op het oordeel van een onafhankelijke gekwalificeerde auditor
- TSP voldoet aan de eisen zoals gesteld in verordening 910/2014 (eIDAS) en de daarbij behorende normenkaders, zoals ETSI EN 319 411-1 en ETSI EN 319 411-2 (indien de TSP gekwalificeerde certificaten wenst uit te gaan geven)
- TSP is aangemeld bij de Rijksinspectie Digitale Infrastructuur (voorheen Agentschap Telecom)
- TSP heeft een uniek Object Identifier (OID) om zichzelf te identificeren in uitgegeven certificaten
Er is dus een aantal stappen die de TSP moet doorlopen, waaronder toetsing door een gekwalificeerde auditor. PKIoverheid raadt de TSP aan om in overleg met de auditor tot een zo efficiënt mogelijk onderzoek te komen. De auditor kan dan rekening houden met de verschillende normen en rapportdoelgroepen.
Procedure tot toetreding als TSP
Als een partij wil toetreden tot PKIoverheid, is het aan te raden om contact op te nemen met de PA, zodat vroegtijdig en frequent afstemming tussen de TSP en de PA kan plaatsvinden. Dit doet u middels het Logius contactformulier.
In deze fase doorloopt de TSP de noodzakelijke certificatietrajecten zoals ETSI EN 319 411-1, ETSI EN 319 411-2 (indien van toepassing) en toetsingstraject(en) voor de overige van toepassing zijnde normenkaders. Deze audits dienen uitgevoerd te worden conform ETSI EN 319 403. Voor het Programme of Requirements PKIoverheid ontbreekt een certificatieschema waardoor Certificerende Instantie (CI) logischerwijs niet door de Raad van Accreditatie (RvA) zijn geaccrediteerd om tegen deze te toetsen en te certificeren. Wel moet een CI voldoen aan dezelfde kwaliteitseisen als ETSI EN 319 403 en dient deze audit met vergelijkbare diepgang en wijze te worden uitgevoerd. Alle certificatietrajecten kunnen tegelijkertijd worden uitgevoerd. Deelcertificering is mogelijk indien de TSP bepaalde dienstverlening heeft uitbesteed, echter de TSP blijft eindverantwoordelijk.
De TSP verdiept zich in de overeenkomst of het convenant dat met het ministerie van BZK zal worden afgesloten. Hier wordt onder andere ingegaan op het blijvend voldoen aan de gestelde eisen en de mogelijkheden tot handhaving van de afspraken door de PA. Dit betreft onder meer de mogelijkheid om een audit te laten uitvoeren bij de TSP en het ontbinden van de overeenkomst c.q. het convenant. De TSP moet deze overeenkomst of dit convenant eerst ondertekenen voordat de Minister van BZK over de toetreding zal beslissen. De standaardovereenkomst c.q. het standaardconvenant kunnen bij de PA worden opgevraagd.
De doorlooptijd van de eerste fase is zeer afhankelijk van de situatie bij de TSP en hiervan is daarom geen inschatting opgenomen.
De TSP dient het officiële verzoek tot toetreding in bij de PA. Hiervoor is een modelformulier beschikbaar (te verkrijgen bij de PA). Naast dit formulier zijn een aantal aanvullende documenten noodzakelijk. Dit is afhankelijk van de typen certificaten de TSP wenst uit te gaan geven. Deze aanvullende documentatie omvat ten minste:
| Alle certificaten |
Gekwalificeerde certificaten |
|
|---|---|---|
| Volledig ingevuld aanvraagformulier met het verzoek toe te mogen treden tot PKIoverheid | V | V |
| Ondertekende overeenkomst of convenant met het ministerie van BZK in tweevoud | V | V |
| Bewijs dat de TSP bevoegd is een organisatorische entiteit te vertegenwoordigen (uittreksel KvK of Staatsalmanak) | V | V |
| Ingevuld OID-aanvraagformulier | V | V |
| Goedkeurende verklaring voor de eisen van het Programme of Requirements (inclusief volledige rapportage) | V | V |
| Certificaatprofiel(en) voor eindgebruikercertificaten, één per uit te geven type | V | V |
| ETSI EN 319 411-1 certificaat (inclusief volledige rapportage) | V | V |
| ETSI EN 319 411-2 certificaat (inclusief volledige rapportage) | X | V |
| Bewijs van registratie bij de RDI | X | V |
De PA adviseert de Minister van BZK over het verzoek, welke dan beslist over het al dan niet honoreren van dit verzoek tot toetreding. In het geval een positief besluit wordt genomen geeft het ministerie van BZK aan Logius de opdracht om de TSP op te nemen in de hiërarchie van de PKIoverheid.
De doorlooptijd van Fase 2 bedraagt enkele weken, tenzij er voor de PA reden bestaat om de TSP te consulteren. Deze situatie wordt alleen voorzien als het verzoek tot toetreding niet volledig of onduidelijk is.
De effectuering houdt in dat de publieke sleutel(s) van de TSP worden getekend door de signing key (van het betreffende domein) van de PKIoverheid. Het getekende TSP-certificaat mag alleen worden gebruikt om certificaten uit te geven en CRL's te publiceren, conform het Programme of Requirements. Het tekenen van de publieke sleutels vindt plaats tijdens een ceremonie.
Voorafgaand aan de productieceremonie wordt er eerst een acceptatietest uitgevoerd. Tijdens deze acceptatietest tekent de PA een of meerdere testsleutels van de TSP. De output hiervan wordt gecontroleerd en aangeboden aan de TSP ter verificatie in haar eigen systemen. Indien succesvol wordt de publieke sleutel (of sleutels) van de TSP door de PA getekend met haar productie sleutels. De PA levert de geproduceerde TSP CA-certificaten vervolgens op aan de TSP en publiceert deze op de website Overview of PKIoverheid certificates
De geschatte doorlooptijd van deze fase is drie maanden. Indien de TSP specifieke eisen stelt (uitgebreide key-ceremonies, aanwezigheid / inzet meerdere partijen) of wanneer zich onvoorziene technische complicaties voordoen kan de doorlooptijd toenemen. De kosten komen geheel voor rekening van de toetredende TSP. Neem contact op met de PA voor een actuele kosteninschatting.
Toezicht
Om de betrouwbaarheid van PKIoverheid te kunnen waarborgen, moeten de TSP's ook na toetreding voldoen aan het Programme of Requirements en overige normenkaders. De Policy Authority PKIoverheid (PA) houdt toezicht op de toegetreden TSP's om dit vast te stellen.
Jaarlijks moet een volledige audit worden uitgevoerd voor de toepasselijke normenkaders voor deze TSP (ETSI, Webtrust, Programme of Requirements, enz.). Het volledige en definitieve auditrapport met detailbevindingen moet worden gedeeld met RDI en de PA PKIoverheid. Indien van toepassing vergezeld met het plan van aanpak voor corrigerende maatregelen (CAP). Tevens moet het bewijs van hernieuwde certificering tijdig worden gepubliceerd op de website van de TSP en de auditor. De TSP stelt hier de PA tijdig van op de hoogte.
De PA moet ingelicht worden als certificering dreigt te worden ingetrokken of opgeschort.
Toegetreden vertrouwensdienstverleners (TSP's)
Er zijn twee typen toegetreden vertrouwensdienstverlener (TSP); commerciële TSP's en overheid-TSP's. Overheid-TSP’s geven certificaten uit ten behoeve van een specifieke doelgroep. Commerciële TSP's bepalen op basis van marktwerking welke PKIoverheidcertificaten zij uitgeven. Op hun website ziet u het aanbod.
Overheid-TSP's
| Naam TSP | Datum toetreding | Doel |
|---|---|---|
| CIBG | 22 december 2004 | Ten behoeve van UZI-Register en ZOVAR |
| IL&T | 19 maart 2012 | Ten behoeve van boordcomputer taxi |
| Ministerie van Defensie | 22 april 2008 | Ten behoeve van Defensiepas |
Commerciële TSP's
| Naam TSP | Datum toetreding | Contact |
|---|---|---|
| Cleverbase ID BV | 11 januari 2018 | Neem contact op met Cleverbase ID |
| Digidentity BV | 13 april 2011 | Neem contact op met Digidentity |
| KPN BV | 6 oktober 2003 | Neem contact op met KPN |
| QuoVadis Trustlink BV | 14 januari 2009 | Neem contact op met QuoVadis Trustlink |
Certificaten
Iedere TSP ontvangt van Logius een TSP-certificaat waarmee zij eindgebruiker-certificaten uitgeven. Deze TSP-certificaten worden gepubliceerd op de website Overview of PKIoverheid certificates.