ΤΟ ΣΥΣΤΗΜΑ «ΕΡΜΗΣ» ΤΟΥ ΧΡΗΜΑΤΙΣΤΗΡΙΟΥ ΑΘΗΝΩΝ (ΧΑ) ΚΑΙ ΟΙ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΑΣΥΚ Α.Ε.

Transcript

1 ΤΟ ΣΥΣΤΗΜΑ «ΕΡΜΗΣ» ΤΟΥ ΧΡΗΜΑΤΙΣΤΗΡΙΟΥ ΑΘΗΝΩΝ (ΧΑ) ΚΑΙ ΟΙ ΥΠΗΡΕΣΙΕΣ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ ΤΗΣ ΑΣΥΚ Α.Ε. 1. Εισαγωγή Στα πλαίσιο της τυποποίησης και αναβάθμισης της επικοινωνίας του Χρηματιστηρίου Αθηνών (ΧΑ) με τις Εισηγμένες Εταιρίες, υλοποιήθηκε το σύστημα «ΕΡΜΗΣ» / "H.E.R.ME.S." ("Hellenic Exchanges Remote MEssaging Services") - ένα σύστημα ηλεκτρονικής διασύνδεσης και επικοινωνίας του ΧΑ με τις εισηγμένες εταιρίες μέσω του Διαδικτύου (Internet). Πρόκειται για μια PKI-enabled εφαρμογή (τύπου Businessto-Business/Β2Β), η οποία σταδιακά από το Σεπτέμβριο 2002 (για την Υπηρεσία Εταιρικών Ανακοινώσεων) αποτελεί το μοναδικό κανάλι επικοινωνίας του ΧΑ με τις εισηγμένες εταιρείες όσον αφορά την ηλεκτρονική υποβολή δεδομένων και στοιχείων. Στόχος του συστήματος «ΕΡΜΗΣ» (που υλοποιήθηκε από τις εταιρίες Deloitte & Touche Consulting A.E., Intersys Α.Ε. και ΑΣΥΚ Α.Ε.) είναι η ταχύτερη απόκριση του ΧΑ ( στις ανάγκες των εισηγμένων εταιριών, με την ελαχιστοποίηση των γραφειοκρατικών διαδικασιών και την παροχή ταχείας, αξιόπιστης και ολοκληρωμένης πληροφόρησης προς το επενδυτικό κοινό. Το σύστημα «ΕΡΜΗΣ» επιτρέπει την αποστολή πληροφοριών μέσω ενός περιβάλλοντος που διασφαλίζει την αξιοπιστία και την ακεραιότητα των δεδομένων κατά την ηλεκτρονική επικοινωνία με τη χρήση προηγμένων τεχνολογιών ασφάλειας και την αξιοποίηση του υφιστάμενου νομοθετικού πλαισίου (Π.Δ. 150/2001) για τις «ηλεκτρονικές υπογραφές» (Digital Signatures). Μεταξύ των χρησιμοποιούμενων τεχνολογιών περιλαμβάνονται: «υποδομή δημόσιου κλειδιού» (Public Key Infrastructure - PKI), «αναγνωρισμένα πιστοποιητικά» (Qualified Certificates), και «προηγμένες ηλεκτρονικές υπογραφές» με τη χρήση «έξυπνων καρτών» (Smart Cards), τύπου SmartAccess Card, ως μέρος «ασφαλούς διάταξης δημιουργίας υπογραφής». ΑΝΑΠΤΥΞΗ ΣΥΣΤΗΜΑΤΩΝ & ΥΠΟΣΤΗΡΙΞΗΣ ΚΕΦΑΛΑΙΑΓΟΡΑΣ Α.Ε. ΕΥΡΙΠΙΔΟΥ 19, ΑΘΗΝΑ, TΗΛ.: , FAX: , PKICA-Services@asyk.ase.gr,

2 2. Το μοντέλο λειτουργίας του συστήματος ΕΡΜΗΣ του ΧΑ Η ανάπτυξη, λειτουργία και χρήση του συστήματος ΕΡΜΗΣ βασίζεται στο μοντέλο του Σχήματος 1: Σελίδα 2/9

3 SD ΧΡΗΜΑΤΙΣΤΗΡΙΟ ΑΘΗΝΩΝ (ΕΡΜΗΣ) Συνδρομητές ΗΠΕ ΤΕΛΙΚΟΣ ΧΡΗΣΤΗΣ (ΕΙΣΗΓΜΕΝΗ ΕΤΑΙΡΕΙΑ) HERMES STARTER KIT WEB SERVER 1 & 2 APPLICATION SERVER 1 & 2 DATABASE SERVER 1 & 2 SECURITY CENTER ISP2 1. Έξυπνη Κάρτα (SmartCard) 2. PIN/PUK 3. CD-ROM with Client S/W 4. InstallationInstructions &Checklist 5. Καρταναγνώστης (Card Reader) ISP1 Internet ISP5 ΠΑΡΟΧΟΣ ΥΠΗΡΕΣΙΩΝ ΨΗΦΙΑΚΗΣ ΠΙΣΤΟΠΟΙΗΣΗΣ (ΑΣΥΚ) ISP3 ISP4 ΥΠΗΡΕΣΙΑ ΚΑΤΑΛΟΓΟΥ ΕΚΔΟΘΕΝΤΩΝ, ΑΝΑΣΤΑΛΘΕΝΤΩΝ & ΑΝΑΚΛΗΘΕΝΤΩΝ ΠΙΣΤΟΠΟΙΗΤΙΚΩΝ ΥΠΗΡΕΣΙΑ ΕΓΓΡΑΦΗΣ & ΔΙΑΧΕΙΡΙΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΩΝ LDAP 1 LDAP 2 ΥΠΗΡΕΣΙΑ ΕΚΔΟΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΩΝ ΚΕΝΤΡΟ ΔΙΑΧΕΙΡΙΣΗΣ & ΛΕΙΤΟΥΡΓΙΑΣ ΥΠΗΡΕΣΙΩΝ PKI Σχήμα 1 Συγκεκριμένα: 1. Κάθε χρήστης του συστήματος, εφόσον πληροί τις σχετικές προϋποθέσεις, αποκτά «έξυπνη κάρτα» (τύπου SmartAccess Card) με τουλάχιστον δύο (2) πιστοποιητικά: ένα (1) «πιστοποιητικό ταυτοποίησης» για τα δεδομένα επαλήθευσης (δημόσιο κλειδί) της ηλεκτρονικής υπογραφής που αντιστοιχεί στην ταυτότητά του, και ένα (1) «αναγνωρισμένο πιστοποιητικό» για τα δεδομένα επαλήθευσης (δημόσιο κλειδί) της «προηγμένης ηλεκτρονικής υπογραφής» του. Η χρήση της «έξυπνης κάρτας» είναι δυνατή μόνο μέσω ειδικού «κωδικού ενεργοποίησης» (PIN) τον οποίο παραλαμβάνει ο χρήστης σε ειδικό φάκελο κατά τη διαδικασία έκδοσης της κάρτας και των παραπάνω πιστοποιητικών του. Την παραπάνω «έξυπνη κάρτα» με τα απαιτούμενα πιστοποιητικά για κάθε χρήστη, εκδίδει αξιόπιστος «Πάροχος Υπηρεσιών Πιστοποίησης» («Εκδότης» πιστοποιητικών και έξυπνων καρτών) βάσει του εκάστοτε ισχύοντος νομικού και Σελίδα 3/9

4 κανονιστικού πλαισίου στην Ελλάδα, που είναι και ο «Φορέας Λειτουργίας» της υποδομής PKI και των υπηρεσιών CA που υποστηρίζουν τη λειτουργία του συστήματος. Τα δικαιώματα και οι υποχρεώσεις του χρήστη απέναντι στον «εκδότη» της έξυπνης κάρτας και των πιστοποιητικών του ορίζονται από το σχετικό «κανονισμό πιστοποίησης και παροχής υπηρεσιών» του «εκδότη» (για την έκδοση, ανάκληση και ανανέωση της έξυπνης κάρτας και των πιστοποιητικών του χρήστη), από τις σχετικές πολιτικές πιστοποιητικών, καθώς και από τους όρους σχετικής «αίτησης-σύμβασης συνδρομητή» βάσει της οποίας πραγματοποιείται την 1 η φορά η έκδοση της κάρτας και των πιστοποιητικών του χρήστη. 2. Με τη χρήση της παραπάνω «έξυπνης κάρτας», ως μέρος «ασφαλούς διάταξης δημιουργίας υπογραφής» (σύμφωνα με το Π.Δ. 150/2001), κάθε χρήστης αποκτά πρόσβαση στο σύστημα (και σε άλλες «συμβατές εφαρμογές») μετά από σχετικό έλεγχο της ταυτότητάς του (βάσει του πιστοποιητικού ταυτοποίησης που περιλαμβάνει η έξυπνη κάρτα του) -μέσω κατάλληλα εξοπλισμένου «σταθμού εργασίας». Όπου απαιτείται η «προηγμένη ηλεκτρονική υπογραφή» του (βάσει του «αναγνωρισμένου πιστοποιητικού» του που περιλαμβάνει η «έξυπνη κάρτα» του) αυτή δημιουργείται από «ασφαλή διάταξη δημιουργίας υπογραφής» και επέχει θέση «ιδιόχειρης υπογραφής», τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο. 3. Η ισχύς των παραπάνω πιστοποιητικών είναι διάρκειας τουλάχιστον ενός (1) έτους και μέρος των δεδομένων που πιστοποιούνται για κάθε χρήστη είναι ένας μοναδικός «προσωπικός κωδικός αναγνώρισης» (τουλάχιστον 16ψήφιος δεκαδικός αριθμός). Η ανανέωση των πιστοποιητικών γίνεται τουλάχιστον μέρες πριν τη λήξη τους είτε στην ίδια κάρτα στην οποία εκδόθηκαν την 1 η φορά είτε σε νέα κάρτα εφόσον δεν μπορεί να γίνει διαφορετικά για τεχνικούς λόγους ή για λόγους διαχειριστικής και άλλης πολιτικής από την πλευρά του «Φορέα Λειτουργίας» της υποδομής PKI και των υπηρεσιών CA που υποστηρίζουν τη λειτουργία του συστήματος. 4. Κάθε «συμβατή εφαρμογή» αναγνωρίζει τα πιστοποιητικά που περιλαμβάνει η «έξυπνη κάρτα» κάθε χρήστη και διαθέτει τη δυνατότητα επαλήθευσης της Σελίδα 4/9

5 ορθότητάς τους ή της ισχύος τους πριν από τη χρήση τους, βάσει του σχετικού κανονισμού πιστοποίησης (Certification Practice Statement CPS) και των πολιτικών πιστοποιητικών (Certificate Policies CP) του εκδότη τους (Certification Authority CA). Η πρόσβαση ενός εξουσιοδοτημένου χρήστη στην εφαρμογή είναι δυνατή μόνο μετά την επαλήθευση της ισχύος του σχετικού «πιστοποιητικού ταυτοποίησης» και μόνο στις λειτουργίες της εφαρμογής για τις οποίες έχει εξουσιοδοτηθεί ο χρήστης βάσει σχετικών ρυθμίσεων στο επίπεδο διαχείρισης της εφαρμογής (π.χ. μέσω της χρήσης του μοναδικού «προσωπικού κωδικού αναγνώρισης» κάθε χρήστη που αντλείται από τα πιστοποιητικά της κάρτας του). 5. Τα δικαιώματα και οι υποχρεώσεις κάθε εξουσιοδοτημένου χρήστη απέναντι στο σύστημα και κάθε άλλη «συμβατή εφαρμογή» ορίζονται με ειδικό «κανονισμό διαχείρισης και λειτουργίας» του συστήματος και των εφαρμογών. Ελάχιστη προϋπόθεση είναι ο «εξουσιοδοτημένος χρήστης» να είναι νόμιμος κάτοχος «έξυπνης κάρτας» με τα απαιτούμενα ψηφιακά πιστοποιητικά βάσει όσων αναφέρονται στο (1) παραπάνω. Σελίδα 5/9

6 3. Ο ρόλος της ΑΣΥΚ στην ανάπτυξη και λειτουργία του συστήματος ΕΡΜΗΣ του ΧΑ Το έργο ανάπτυξης του συστήματος ΕΡΜΗΣ ξεκίνησε τον Ιανουάριο 2001 και έκτοτε συνεχίζεται μέχρι σήμερα. Από το Σεπτέμβριο 2002 λειτουργεί σε παραγωγή η Υπηρεσία Εταιρικών Ανακοινώσεων, μια (1) από τις τρεις (3) συνολικά υπηρεσίες που προβλέπει η τρέχουσα (1 η ) Φάση Ανάπτυξης του συστήματος ΕΡΜΗΣ. Επιπλέον, από τον Ιούνιο 2003 λειτουργεί σε παραγωγή η Υπηρεσία Οικονομικών-Λογιστικών Καταστάσεων, και στις αρχές του 2004 εκτιμάται ότι θα λειτουργήσει σε παραγωγή και η Υπηρεσία Αντληθέντων Κεφαλαίων, γεγονός που θα σηματοδοτήσει την ολοκλήρωση της 1 ης Φάσης Ανάπτυξης του συστήματος ΕΡΜΗΣ. Στην τρέχουσα φάση ανάπτυξης και λειτουργίας του συστήματος ΕΡΜΗΣ του ΧΑ, τις απαιτούμενες υπηρεσίες ψηφιακής πιστοποίησης (έκδοση, ανάκληση και ανανέωση «έξυπνων καρτών» και «ψηφιακών πιστοποιητικών» των χρηστών του συστήματος) παρέχει η ΑΣΥΚ Α.Ε., ως «αρχή πιστοποίησης» (Certification Authority ή CA) και «πάροχος υπηρεσιών πιστοποίησης» σύμφωνα με το υφιστάμενο νομικό πλαίσιο (Π.Δ. 150/2001). Συγκεκριμένα, η συμμετοχή της ΑΣΥΚ στην ανάπτυξη και λειτουργία του συστήματος ΕΡΜΗΣ συνίσταται στα εξής: i. Την οργάνωση και παροχή υπηρεσιών ψηφιακής πιστοποίησης για την κάλυψη των αναγκών του συστήματος ΕΡΜΗΣ, ως Πάροχος Πιστοποίησης που εκδίδει Αναγνωρισμένα Πιστοποιητικά σύμφωνα με το Π.Δ. 150/2001. ii. Την ολοκλήρωση των υπηρεσιών του συστήματος ΕΡΜΗΣ με την υπάρχουσα υπολογιστική και δικτυακή υποδομή του ΧΑ, καθώς και με την υποδομή PKI και τις υπηρεσίες πιστοποίησης της ΑΣΥΚ. iii. Την εγκατάσταση και υποστήριξη της καθημερινής ομαλής λειτουργίας του συστήματος σε περιβάλλον παραγωγής προς τους χρήστες μέσω του Internet. Σελίδα 6/9

7 4. Οι Υπηρεσίες Ψηφιακής Πιστοποίησης της ΑΣΥΚ Για την υλοποίηση των παραπάνω η ΑΣΥΚ, εγκατέστησε σύστημα «Υποδομής Δημόσιου Κλειδιού» (Public Key Infrastructure PKI) προκειμένου να λειτουργήσει ως «εθελοντικά διαπιστευμένος» πάροχος υπηρεσιών πιστοποίησης (Certification Authority CA provider), σύμφωνα με το Π.Δ. 150/2001. Η επίσημη εγκαθίδρυση της υποδομής PKI της ΑΣΥΚ, μέσω της δημιουργίας και αποθήκευσης των κρυπτογραφικών κλειδιών των Αρχών Πιστοποίησης της ΑΣΥΚ (τόσο του Root CA όσο και των δύο Subordinate CAs), πραγματοποιήθηκε κάτω από ειδική Τελετή Δημιουργίας Κρυπτογραφικών Κλειδιών ( Key Generation Ceremony ), παρουσία εξειδικευμένων ελεγκτών της Deloitte & Touche. Η τελετή, έλαβε χώρα σε ασφαλές φυσικό περιβάλλον, βιντεοσκοπήθηκε και πραγματοποιήθηκε βάσει σχεδίου (script) στο οποίο περιγράφονταν λεπτομερέστατα όλες οι απαραίτητες ενέργειες, από την αρχική εγκατάσταση του λειτουργικού συστήματος, την εγκατάσταση των εφαρμογών PKI, τη δημιουργία και αποθήκευση των κρυπτογραφημένων κλειδιών σε συσκευή ασφαλούς διατάξεως δημιουργίας υπογραφής FIPS Level 3, έως και τη φύλαξη αντιγράφων των κρυπτογραφικών κλειδιών σε ασφαλή τραπεζική θυρίδα. Ο έλεγχος συμμόρφωσης που πραγματοποίησε επιτυχώς η Deloitte & Touche, έγινε σύμφωνα με τις σχετικές προδιαγραφές του προτύπου AICPA/CICA WebTrust for Certification Authorities, τις σχετικές απαιτήσεις της Microsoft Corporation για την αναγνώριση παρόχων υπηρεσιών πιστοποίησης, καθώς και τις σχετικές οδηγίες της ομάδας Internet Engineering Task Force IETF (PKIX framework RFC 2527). Το σύνολο των σχετικών εργασιών ολοκληρώθηκαν τον Μάιο Η ΑΣΥΚ Α.Ε. είναι καταχωρημένη στα Μητρώα που τηρεί η ΕΕΤΤ σύμφωνα με τον Κανονισμό ΕΕΤΤ 248/71/2002, ως «Πάροχος Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής που εκδίδει Αναγνωρισμένα Πιστοποιητικά» κατά δήλωσή του (βάσει του Άρθρου 10, παρ.3) και ως «Πάροχος Υπηρεσιών Πιστοποίησης Ηλεκτρονικής Υπογραφής» (βάσει του Άρθρου 10, παρ. 2). Σελίδα 7/9

8 Βασικός στόχος της ΑΣΥΚ, μέσω της υποδομής PKI/CA που έχει αναπτύξει και της σχετικής τεχνογνωσίας που έχει αποκτήσει, είναι η παροχή: υπηρεσιών ψηφιακής πιστοποίησης (Certification Authority CA services) προς εξουσιοδοτημένους χρήστες εφαρμογών (π.χ. χρήστες εφαρμογών Β2Β/Β2C του Ομίλου, κ.α.) με τη χρήση «έξυπνων καρτών» (smart cards) και τη χρήση της τεχνολογίας των «ηλεκτρονικών υπογραφών», υπηρεσιών ολοκλήρωσης με εφαρμογές (application integration services), είτε αυτές υπάρχουν είτε πρόκειται να αναπτυχθούν στο μέλλον, υπηρεσιών εκπαίδευσης και συμβούλου προς χρήστες, σχεδιαστές και διαχειριστές των παραπάνω εφαρμογών. Στην παρούσα κατάσταση, το σύστημα PKI και οι υπηρεσίες πιστοποίησης (CA) της ΑΣΥΚ αφορούν τη διαχείριση (έκδοση, ανάκληση και ανανέωση) ψηφιακών πιστοποιητικών («αναγνωρισμένων» και μη) για «ψηφιακές ταυτότητες» (Electronic Identity Cards ή Digital IDs) και «ασφαλείς εξυπηρετητές εφαρμογών» (secure application servers). Σημειώνεται ότι, στην περίπτωση φυσικού προσώπου η «ηλεκτρονική υπογραφή» που παράγεται μέσω «ασφαλούς διάταξης δημιουργίας υπογραφής» (π.χ. με τη χρήση «έξυπνης κάρτας» ως μέσο «ψηφιακής ταυτότητας») και προσωπικών «δεδομένων δημιουργίας υπογραφής» τα οποία αντιστοιχούν σε «αναγνωρισμένο πιστοποιητικό», επέχει θέση ιδιόχειρης υπογραφής τόσο στο ουσιαστικό όσο και στο δικονομικό δίκαιο (σύμφωνα με το Π.Δ. 150/2001). Συμπληρωματικά, παρέχονται επίσης οι αναγκαίες συμβουλευτικές υπηρεσίες για την ολοκλήρωση των παραπάνω υπηρεσιών (PKI/CA) με εφαρμογές ηλεκτρονικού επιχειρείν (e-business applications) και την καλύτερη δυνατή ενίσχυση των μηχανισμών ασφαλείας τους (authentication, authorization, data confidentiality, data integrity, non-repudiation). Προς το παρόν οι υπηρεσίες PKI/CA της ΑΣΥΚ εξυπηρετούν τη λειτουργία του συστήματος «ΕΡΜΗΣ» / «H.E.R.ME.S.» (Hellenic Exchanges Remote MEssaging Services) του ΧΑ, καθώς και άλλων εφαρμογών εντός του Ομίλου ΕΧΑΕ. Σελίδα 8/9

9 Συγκεκριμένα, μέχρι τις 27/2/2004, στο πλαίσιο του παραπάνω έργου εκδόθηκαν από την ΑΣΥΚ συνολικά 1077 περίπου «ψηφιακές ταυτότητες» τύπου SmartAccess Card του ΧΑ, προς εξουσιοδοτημένους χρήστες του συστήματος ΕΡΜΗΣ από την πλευρά εισηγμένων εταιριών στο ΧΑ, ενώ οι ενεργοί χρήστες του συστήματος ΕΡΜΗΣ ανέρχονταν σε 468. Φυσικά, στόχος της εταιρείας είναι η επέκταση της πελατειακής της βάσης και εκτός του Ομίλου ΕΧΑΕ, στα πλαίσια του επιχειρησιακού σχεδίου της περί της διαφοροποίησης των εσόδων της. 5. Για περισσότερες πληροφορίες Για θέματα σχετικά με τις Υπηρεσίες Ψηφιακής Πιστοποίησης της ΑΣΥΚ: ΑΣΥΚ Α.Ε. Υπηρεσίες Ψηφιακής Πιστοποίησης Ευριπίδου 19 (4 ος όροφος), Αθήνα Τηλ Fax Web: Για θέματα σχετικά με το σύστημα ΕΡΜΗΣ του ΧΑ: Χρηματιστήριο Αθηνών Α.Ε. Γραμματεία ΕΡΜΗΣ Σοφοκλέους 10, Αθήνα Τηλ Fax Web: Σελίδα 9/9