电子认证服务基线证书策略
(征求意见稿)
内部资料注意保密!
版本 1.0
日期:2010年5月12日
目录
1导言 (1)
1.1 概要 (1)
1.2 文档名称与标识 (1)
1.3 电子认证活动参与者 (1)
1.3.1 电子认证服务机构 (1)
1.3.2 注册机构 (2)
1.3.3 订户 (2)
1.3.4 依赖方 (2)
1.3.5 其他参与者 (2)
1.4 证书的用途 (2)
1.4.1 支持的证书应用 (2)
1.4.2 不支持的证书应用 (2)
1.5 策略管理 (2)
1.5.1 策略管理机关 (2)
1.5.2 联系人 (3)
1.5.3 电子认证业务规则的审批机关 (3)
1.5.4 电子认证业务规则的审批流程 (3)
1.6 定义和缩写 (3)
2信息发布和资料库职责 (3)
2.1 资料库 (3)
2.2 信息发布 (3)
2.3 发布信息的时间或频率 (4)
2.4 资料库的访问控制 (4)
3身份标识与鉴别 (4)
3.1 命名 (4)
3.1.1 名字类型 (4)
3.1.2 名称意义化的要求 (4)
3.1.3 订户的匿名或假名 (4)
3.1.4 不同名字格式的解释规则 (4)
3.1.5 名称的唯一性 (5)
3.1.6 商标的识别、鉴别和角色 (5)
3.2 初始身份验证 (5)
3.2.1 证明拥有私钥的方法 (5)
3.2.2 机构身份的鉴别 (5)
3.2.3 自然人身份的鉴别 (5)
3.2.4 不需验证的订户信息 (5)
3.2.5 授权确认 (5)
3.2.6 互操作规范 (6)
3.3 密钥更新请求的身份标识与鉴别 (6)
3.3.1 常规密钥更新请求的身份标识与鉴别 (6)
3.3.2 撤销后密钥更新请求的身份标识与鉴别 (6)
3.4 证书撤销请求的标识与鉴别 (6)
4证书生命周期操作要求 (6)
4.1 证书申请 (6)
4.1.1 提交证书申请的人 (6)
4.1.2 登记过程和责任 (7)
4.2 证书申请处理 (7)
4.2.1 标识与鉴别过程 (7)
4.2.2 接受或拒绝证书申请 (7)
4.2.3 证书申请的处理期限 (7)
4.3 证书签发 (7)
4.3.1 证书签发期间电子认证服务机构的行为 (7)
4.3.2 订户证书签发的通知 (7)
4.4 证书接受 (8)
4.4.1 证书接受的行为 (8)
4.4.2 电子认证服务机构发布证书 (8)
4.4.3 电子认证服务机构通知其他实体关于证书的签发 (8)
4.5 密钥对和证书的使用 (8)
4.5.1 订户私钥和证书的使用 (8)
4.5.2 依赖方对公钥和证书的使用 (8)
4.6 证书更新 (9)
4.6.1 证书更新的情况 (9)
4.6.2 请求证书更新的人 (9)
4.6.3 处理证书更新请求 (9)
4.6.4 通知订户新证书签发 (9)
4.6.5 构成更新证书接受的行为 (9)
4.6.6 电子认证服务机构对更新证书的发布 (9)
4.6.7 电子认证服务机构通知其他实体证书的发布 (9)
4.7 证书密钥更换 (9)
4.7.1 证书密钥更换的情况 (9)
4.7.2 请求证书密钥更换的人 (10)
4.7.3 证书密钥更换请求的处理 (10)
4.7.4 订户新证书签发的通知 (10)
4.7.5 构成密钥更新证书接受的行为 (10)
4.7.6 电子认证服务机构对密钥更新证书的发布 (10)
4.7.7 电子认证服务机构通知其他实体证书的签发 (10)
4.8 证书变更 (10)
4.8.1 证书变更的情况 (10)
4.8.2 请求证书变更的人 (10)
4.8.3 证书变更请求的处理 (10)
4.8.4 订户新证书签发的通知 (11)
4.8.5 构成变更证书接受的行为 (11)
4.8.6 电子认证服务机构对变更证书的发布 (11)
4.8.7 电子认证服务机构通知其他实体证书的签发 (11)
4.9 证书撤销与挂起 (11)
4.9.1 撤销的情况 (11)
4.9.3 证书撤销请求的处理 (12)
4.9.4 撤销请求的宽限期 (12)
4.9.5 电子认证服务机构处理撤销请求的时间要求 (12)
4.9.6 依赖方进行撤销检查的要求 (12)
4.9.7 证书撤销列表签发频率 (12)
4.9.8 证书撤销列表发布的最大滞后时间 (12)
4.9.9 在线撤销/状态检查的可用性 (12)
4.9.10 在线撤销检查的要求 (13)
4.9.11 可获得撤销公告的其他方式 (13)
4.9.12 针对密钥泄露的特殊要求 (13)
4.9.13 证书挂起的情况 (13)
4.9.14 谁能要求挂起 (13)
4.9.15 挂起请求的程序 (13)
4.9.16 挂起的期限 (13)
4.10 证书状态服务 (13)
4.10.1 操作特征 (13)
4.10.2 服务的可用性 (13)
4.10.3 可选功能 (14)
4.11 订购的结束 (14)
4.12 密钥托管和恢复 (14)
4.12.1 密钥托管和恢复的策略与实施 (14)
4.12.2 会话密钥封装和恢复的策略与实施 (14)
5设施、管理和运作控制 (14)
5.1 物理安全控制 (14)
5.1.1 场所位置和建筑 (14)
5.1.2 物理访问 (15)
5.1.3 电力和空调 (15)
5.1.4 防水措施 (15)
5.1.5 火灾预防与保护 (15)
5.1.6 介质存储 (15)
5.1.7 废物处理 (15)
5.1.8 异地备份 (16)
5.2 过程控制 (16)
5.2.1 可信角色 (16)
5.2.2 每项任务需要的人数 (16)
5.2.3 每个角色的标识和鉴别 (16)
5.2.4 需要职责分割的角色 (16)
5.3 人员控制 (17)
5.3.1 资历和安全要求 (17)
5.3.2 背景审查流程 (17)
5.3.3 培训要求 (17)
5.3.4 再培训周期和要求 (17)
5.3.5 岗位轮换的频率和顺序 (17)
5.3.7 独立合约人的要求 (18)
5.3.8 提供给员工的文档 (18)
5.4 审计流程 (18)
5.4.1 被记录事件的类型 (18)
5.4.2 处理日志的周期 (18)
5.4.3 审计日志的保存期限 (18)
5.4.4 审计日志的保护 (18)
5.4.5 审计日志的备份 (19)
5.4.6 审计日志收集系统 (19)
5.4.7 事件引发主体的通知 (19)
5.4.8 脆弱性评估 (19)
5.5 记录归档 (19)
5.5.1 归档的记录类型 (19)
5.5.2 归档记录的保存期限 (19)
5.5.3 归档记录的保护 (19)
5.5.4 归档记录的备份流程 (19)
5.5.5 归档记录的时间戳要求 (20)
5.5.6 归档记录收集系统(内部或外部) (20)
5.5.7 获得和检验归档记录的流程 (20)
5.6 电子认证服务机构密钥的更替 (20)
5.7 事故和灾难恢复 (20)
5.7.1 事故处理流程 (20)
5.7.2 计算资源、软件和/或数据遭到破坏 (20)
5.7.3 电子认证服务机构私钥的泄露处理流程 (20)
5.7.4 灾难发生后的业务连续性 (20)
5.8 电子认证服务的终止 (20)
6技术安全控制 (21)
6.1 密钥对的生成和安装 (21)
6.1.1 密钥对的生成 (21)
6.1.2 递交私钥给订户 (21)
6.1.3 传送公钥给证书签发机构 (21)
6.1.4 传送电子认证服务机构公钥给依赖方 (21)
6.1.5 密钥长度 (21)
6.1.6 公钥参数的生成和资格检查 (22)
6.1.7 密钥用途 (22)
6.2 私钥保护和密码模块的工程控制 (22)
6.2.1 密码模块标准和控制 (22)
6.2.2 私钥多人控制 (22)
6.2.3 私钥托管 (22)
6.2.4 私钥备份 (22)
6.2.5 私钥归档 (22)
6.2.6 私钥导入或导出密码模块 (23)
6.2.7 保存在密码模块的私钥 (23)
6.2.9 解除私钥激活状态的方法 (23)
6.2.10 销毁私钥的方法 (23)
6.2.11 加密模块定级 (23)
6.3 密钥对管理的其它方面 (23)
6.3.1 公钥归档 (23)
6.3.2 证书操作期和密钥对使用期限 (23)
6.4 激活数据 (24)
6.4.1 激活数据的产生和安装 (24)
6.4.2 激活数据的保护 (24)
6.4.3 激活数据的其它方面 (24)
6.5 计算机安全控制 (24)
6.5.1 特定的计算机安全技术要求 (24)
6.5.2 计算机安全等级 (24)
6.6 生命周期技术控制 (24)
6.6.1 系统开发控制 (24)
6.6.2 安全管理控制 (25)
6.6.3 生命周期的安全控制 (25)
6.7 网络的安全控制 (25)
6.8 时间戳 (25)
7证书、证书撤销列表和在线证书状态协议 (25)
7.1 证书 (25)
7.1.1 版本号 (25)
7.1.2 证书扩展 (25)
7.1.3 算法对象标识符 (26)
7.1.4 命名形式 (26)
7.1.5 名称约束 (26)
7.1.6 证书策略对象标识符 (26)
7.1.7 策略限制扩展项的使用 (26)
7.1.8 策略限定符的语法和语义 (26)
7.1.9 关键证书策略扩展项的处理规则 (26)
7.2 证书撤销列表 (26)
7.2.1 版本号 (26)
7.2.2 证书撤销列表和CRL Entry扩展 (26)
7.3 OCSP服务 (26)
8合规性审计和相关评估 (27)
8.1 评估的频率或情况 (27)
8.2 评估者的身份/资质 (27)
8.3 评估者与被评估者的关系 (27)
8.4 评估内容 (27)
8.5 对不足采取的措施 (27)
8.6 评估结果的传达与发布 (28)
9商业和法律相关事务 (28)
9.1 费用Fees (28)
9.1.2 证书查询费用 (28)
9.1.3 撤销和状态信息查询费用 (28)
9.1.4 其他服务费用 (28)
9.1.5 退款条件说明 (28)
9.2 财务责任 (28)
9.2.1 保险范围 (28)
9.2.2 其他资产 (29)
9.2.3 对终端实体的保险或担保范围 (29)
9.3 业务信息保密 (29)
9.3.1 保密信息范围 (29)
9.3.2 非保密信息范围 (29)
9.3.3 保护保密信息的责任 (29)
9.4 个人隐私保护 (30)
9.4.1 隐私保护方案 (30)
9.4.2 视为隐私的信息 (30)
9.4.3 不视为隐私的信息 (30)
9.4.4 保护隐私信息的责任 (30)
9.4.5 使用隐私信息的告知与同意 (30)
9.4.6 依法律或行政程序的信息披露 (30)
9.4.7 其他信息披露情况 (30)
9.5 知识产权 (30)
9.6 陈述与担保 (31)
9.6.1 电子认证服务机构的陈述与担保 (31)
9.6.2 注册机构的陈述与担保 (31)
9.6.3 订户的陈述与担保 (31)
9.6.4 依赖方的陈述与担保 (31)
9.6.5 其他参与者的陈述与担保 (32)
9.7 免责声明 (32)
9.8 有限责任 (32)
9.9 赔偿 (32)
9.10 有效期限和终止 (32)
9.10.1 有限期限 (32)
9.10.2 终止 (32)
9.10.3 终止与生存的效力 (32)
9.11 对各参与者的个别通告与沟通 (32)
9.12 修订 (33)
9.12.1 修订流程 (33)
9.12.2 通知机制和期限 (33)
9.12.3 必须更换OID的情况 (33)
9.13 争议处理 (33)
9.14 管辖法律 (33)
9.15 与适用法律的符合性 (33)
9.16 杂项条款 (33)
9.16.2 转让 (33)
9.16.3 分割性 (34)
9.16.4 强制执行 (34)
9.16.5 不可抗力 (34)
1导言
本证书策略描述了电子认证服务机构在提供电子认证服务过程中,必须遵循的基本规范。
根据本证书策略制定的电子认证业务规则,不能出现与本证书策略内容冲突的条款。电子认证服务机构无法执行本证书策略中要求的条款,必须向电子认证服务管理部门提出申请,管理部门视情况批准,得到批准后在其电子认证业务规则中对相关的内容进行说明。
本证书策略参照IETF PKIX工作组关于证书策略和电子认证业务规则的规范RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework进行编写。
1.1概要
本证书策略是实施电子认证服务需要符合的基本要求。本证书策略为数字证书签发和使用提供依据,为电子认证活动的各参与者的权利和义务关系确定基本的条款。本证书策略的适用对象包括:
z签发符合本证书策略的证书的电子认证服务机构,遵循本证书策略的规范制定电子认证业务规则,并按照其电子认证业务规则运营
z本证书策略证书的订户,需要了解身份鉴别要求、作为订户的权利和义务以及电子认证服务机构对其提供的保护
z本证书策略证书的依赖方,需要了解本证书策略的证书或者该证书对应的电子签名的可信程度
1.2文档名称与标识
本文档的完整名称是“电子认证服务基线证书策略”版本1.0。本证书策略的对象标识符(以下简称“OID”)为xxx,电子认证服务机构可根据应用的需要,将本证书策略的OID包含在证书中。
1.3电子认证活动参与者
1.3.1电子认证服务机构
所有符合本证书策略要求的、被电子认证服务管理部门授权签发证书的实体统称为电子认证服务机构。电子认证服务机构可以根据需要建立其下级电子认证服务机构,这些下级也必须遵守本证书策略的要求。
1.3.2注册机构
注册机构必须遵守本证书策略和相关的电子认证业务规则。注册机构可以由电子认证服务机构自建或由与其签订协议的第三方机构建立。当注册机构由第三方机构建立时,电子认证服务机构必须在与其签订的协议中明确规定双方的权利和义务。
1.3.3订户
订户是指接受并持有电子认证服务机构所签发的证书的终端实体。
1.3.4依赖方
依赖方是指需要验证证书和签名的实体。依赖方可验证接收到的经过数字签名的数据电文的完整性和真实性。
1.3.5其他参与者
其他参与者可能包括一些权威机构,例如:电子认证服务机构在对证书申请者进行身份鉴别的时候,可能需要第三方的权威机构出具身份证明材料。
1.4证书的用途
1.4.1支持的证书应用
本基线策略的证书可以用于网络身份认证、网络安全登录、信息保护和通信密钥协商等。本策略的证书还可以用于其他用途,条件是:依赖方根据自己的评估,有充分的理由信任该证书,并确保该证书的使用不违反相关法律、相应的电子认证业务规则以及订户协议。
1.4.2不支持的证书应用
本基线策略的证书只能在不违背相关适用法律的范围内使用,并且不能用于直接导致人员伤亡或者严重的环境破坏的应用,例如:核设备的操作、航天器的导航或通信系统、航空管制系统或者武器控制系统等。
1.5策略管理
1.5.1策略管理机关
中华人民共和国工业和信息化部(以下简称“工业和信息化部”)是电子认证服务管理部门,负责制订、修订和发布本证书策略,并对电子认证服务机构实施监督管理。
1.5.2联系人
电子认证服务管理部门指定xxx(例如:中国科学院数据与通信保护研究教育中心)作为本证书策略的联系人,负责处理有关本证书策略的建议和疑问。
联系人:xxx(例如:中国科学院数据与通信保护研究教育中心)
电话:
传真:
地址:
邮政编码:
电子邮件:
1.5.3电子认证业务规则的审批机关
由电子认证服务管理部门来对各电子认证服务机构制定的电子认证业务规则进行审批。
1.5.4电子认证业务规则的审批流程
拟按照本证书策略签发证书的电子认证服务机构,需按照本证书策略的要求制定电子认证业务规则,并报电子认证服务管理部门审批。
1.6定义和缩写
暂不作说明。
2信息发布和资料库职责
2.1资料库
电子认证服务机构必须建立一个允许公众访问的在线资料库或者使用允许公众访问的第三方资料库,并将其签发的证书以及证书状态信息(如:撤销信息)发布到该资料库上。
2.2信息发布
电子认证服务机构必须将下列信息发布到资料库上,允许订户或依赖方进行在线查询:
z所签发的本证书策略的证书及其状态信息
z本证书策略的最新版本和对应的电子认证业务规则
z最新版本的订户协议和依赖方协议
2.3发布信息的时间或频率
电子认证服务机构的相关信息必须在生效后及时发布。
电子认证业务规则的变更,必须在被认定后三十天内发布。
对于终端订户的证书撤销列表(简称“CRL”),至少每24小时签发一次;电子认证服务机构证书的证书撤销列表至少每年签发一次,或者当某电子认证服务机构的证书需要撤销时签发证书撤销列表。
2.4资料库的访问控制
电子认证服务机构不可以故意使用技术手段来限制对以下信息的访问:证书策略、电子认证业务规则、证书和证书状态信息。
电子认证服务机构必须执行控制措施来阻止对资料库的信息进行非授权的添加、删除或修改。
3身份标识与鉴别
3.1命名
3.1.1名字类型
根据本证书策略签发的证书必须包含电子认证服务机构的名称和订户的名称。出现在主体域的主体名称必须使用X.501可辨识名(Distinguished Name,DN)。
证书中的电子认证服务机构的名称必须使用电子认证服务管理部门批准的名称。3.1.2名称意义化的要求
订户在证书中的名称要有一定的实际意义(假名证书除外),例如:机构名称、姓名、电子邮件地址和电话号码等。
3.1.3订户的匿名或假名
订户在证书中的名称可以是假名但不允许匿名,但是在电子认证服务机构的数据库中,应根据3.2节的要求记录订户相关身份信息。
3.1.4不同名字格式的解释规则
不作规定。
3.1.5名称的唯一性
电子认证服务机构不能将相同主体名称的证书签发给不同的实体。同一个订户可以拥有多个相同主体名称的证书。
3.1.6商标的识别、鉴别和角色
证书申请者不得使用侵犯第三方知识产权的商标。由于侵犯第三方知识产权产生的责任由证书申请者自己承担,电子认证服务机构不予承担。
3.2初始身份验证
3.2.1证明拥有私钥的方法
证书申请者必须证明持有与所要注册公钥相对应的私钥,证明的方法包括在证书请求消息中包含数字签名(PKCS#10)或其他与此相当的证明方法。
如果密钥对是电子认证服务机构为订户生成的,则不需要进行上述证明。
3.2.2机构身份的鉴别
当订户是机构的时候,至少需要进行如下鉴别:
z利用权威第三方提供的身份证明或数据库服务,也可以是政府机构发放的合法性文件(如:工商营业执照)证明该机构确实存在
z通过电话、邮政信函或与此类似的其他方式确认该机构资料信息的真实性,以及代表机构进行证书申请的个人是否得到足够的授权
3.2.3自然人身份的鉴别
当订户是自然人的时候,至少需要进行如下鉴别:
z利用权威第三方提供的身份证明或数据库服务,也可以是政府机构发放的合法性文件(如:居民身份证)来证明订户的身份
z通过电话、邮政信函或与此类似的其他方式确认个人信息的真实性,以及代表进行证书申请的个人是否得到足够的授权
3.2.4不需验证的订户信息
不作规定。
3.2.5授权确认
代表机构进行证书申请的个人,需要出具机构的授权证明。
3.2.6互操作规范
支持本证书策略的所有证书可以互认。
3.3密钥更新请求的身份标识与鉴别
3.3.1常规密钥更新请求的身份标识与鉴别
对于常规密钥更新,订户可以用原有的私钥对更新请求进行签名。电子认证服务机构将会对订户的签名和更新请求进行鉴别。
订户也可以选择一般的新证书申请流程进行常规密钥更新,按照要求提交证书申请所需的材料。
3.3.2撤销后密钥更新请求的身份标识与鉴别
当证书撤销后,订户申请密钥更新时,需要重新进行新证书申请流程。
3.4证书撤销请求的标识与鉴别
电子认证服务机构必须在订户协议中写明对证书撤销请求的鉴别方法。证书撤销的申请者必须满足下列条件之一:
?提供初始身份验证时的申请材料
?证明拥有需要撤销证书的私钥
电子认证服务机构可以通过电话、传真、邮政信函或其他证明方式等对订户的撤销请求进行鉴别。
如果司法机关依法提出撤销请求,电子认证服务机构将对司法机关提供的书面撤销请求文件进行鉴别。
4证书生命周期操作要求
4.1证书申请
4.1.1提交证书申请的人
下列人员可以提交证书申请:
z能够独立承担民事责任的自然人或其授权代表
z具有独立法人资格的机构的授权代表
4.1.2登记过程和责任
所有订户必须明确表示同意订户协议中的内容。
所有订户在申请本策略证书时,必须提供真实的身份信息及相应的公钥。
4.2证书申请处理
4.2.1标识与鉴别过程
电子认证服务机构必须根据3.2节的要求,对订户进行标识和鉴别。
4.2.2接受或拒绝证书申请
如果满足下列条件,电子认证服务机构将接受订户的证书申请:
z成功标识和鉴别了订户的信息
z收到了相应的费用
如果发生下列情形之一,电子认证服务机构将拒绝订户的证书申请:
z不能完成标识和鉴别过程
z订户不能提供电子认证服务机构需要的补充文件或没有在指定的时间内响应电子认证服务机构的通知
z未收到相应的费用
z电子认证服务机构认为批准该申请将会导致电子认证服务机构陷入法律纠纷4.2.3证书申请的处理期限
电子认证服务机构必须在合理的时间内处理证书申请,并在电子认证业务规则中对处理时间给出明确规定。
4.3证书签发
4.3.1证书签发期间电子认证服务机构的行为
电子认证服务机构接受订户的证书申请后,基于审核通过的信息进行证书签发。
4.3.2订户证书签发的通知
电子认证服务机构签发证书后,应及时通知订户其证书已被签发,并向订户提供获得证书的方式,确保订户能够通过常用的方式获得证书。
4.4.1证书接受的行为
订户按照与电子认证服务机构协商的方式确认证书接受。电子认证服务机构必须在其电子认证业务规则中规定订户接受证书的方式。
4.4.2电子认证服务机构发布证书
电子认证服务机构必须将订户已经接受的证书发布到允许公众访问的资料库中。
4.4.3电子认证服务机构通知其他实体关于证书的签发
不作规定。
4.5密钥对和证书的使用
4.5.1订户私钥和证书的使用
订户私钥的使用必须符合证书中KeyUsage扩展的要求,订户证书的使用必须符合本证书策略中1.4节“证书的用途”的要求。同时,订户的私钥和证书的使用必须符合订户协议的要求。
订户必须在接受证书后,才能使用证书对应的私钥,并保护私钥免受未授权的使用。在证书到期或被撤销之后,订户必须停止使用私钥。
4.5.2依赖方对公钥和证书的使用
依赖方依赖证书的前提是同意依赖方协议中的条款。依赖方必须根据环境和条件来判断,证书是否可依赖。
在依赖证书前,依赖方必须独立的进行如下评估:
z确定证书的使用不违背本证书策略的要求
z确定证书的使用不违背证书中“密钥用途”(KeyUsage)扩展的内容
z查询证书及其证书信任链中的所有电子认证服务机构证书的证书状态。当证书信任链中的某个证书被撤销,依赖方有责任调查在上述被撤销证书撤销前最终
订户证书对应私钥所做的签名是否可依赖,并独立承担相应的风险。
4.6.1证书更新的情况
当证书到期时,如果证书中的公钥和其他任何信息没有发生变化,订户可以通过证书更新来获得新的证书。过期的证书也可以进行更新。
4.6.2请求证书更新的人
订户本人或其授权代表可以请求证书更新。
4.6.3处理证书更新请求
电子认证服务机构在对订户证书进行更新前,必须确认证书更新请求是被更新证书的订户(或订户授权的代表)提出的,例如:要求订户提交登记时候提供的鉴别信息(或者等同的方式),或要求证书更新申请者提交原证书中公钥对应的私钥的签名。用于初始证书申请的鉴别也可以用于处理证书更新请求。
4.6.4通知订户新证书签发
进行证书更新后,新证书的签发通知,同 4.3.2。
4.6.5构成更新证书接受的行为
构成更新证书接受的行为,同 4.4.1。
4.6.6电子认证服务机构对更新证书的发布
同 4.4.2。
4.6.7电子认证服务机构通知其他实体证书的发布
不作规定。
4.7证书密钥更换
4.7.1证书密钥更换的情况
当证书到期、丢失、密钥发生泄漏或者其他需要更换密钥的时候,订户可以通过证书密钥更换来获得一张包含新公钥但其他信息不变的新证书。
4.7.2请求证书密钥更换的人
订户本人或其授权代表可以请求证书密钥更换。
4.7.3证书密钥更换请求的处理
电子认证服务机构在对订户证书进行密钥更换前,需要确认密钥更换请求是被更换证书的订户(或订户授权的代表)提出的,例如:要求订户提交登记时候提供的鉴别信息(或者等同的方式),或要求密钥更换申请者提交原证书中公钥对应的私钥的签名。用于原始证书申请的鉴别也可以用于处理密钥更换请求。
如果订户证书对应的私钥发生泄露,电子认证服务机构必须采用初始证书申请的鉴别流程来处理密钥更换请求。
4.7.4订户新证书签发的通知
同 4.3.2。
4.7.5构成密钥更新证书接受的行为
同 4.4.1。
4.7.6电子认证服务机构对密钥更新证书的发布
同 4.4.2。
4.7.7电子认证服务机构通知其他实体证书的签发
不作规定。
4.8证书变更
4.8.1证书变更的情况
当证书中包含的信息(除公钥外)发生变化时,订户可以通过证书变更获得新证书。证书的变更将被视为初始的证书申请。
4.8.2请求证书变更的人
同4.1.1。
4.8.3证书变更请求的处理
电子认证服务机构必须对申请证书变更的订户进行标识和身份鉴别,具体要求同
3.2节。
4.8.4订户新证书签发的通知
同 4.3.2。
4.8.5构成变更证书接受的行为
同 4.4.1。
4.8.6电子认证服务机构对变更证书的发布
同 4.4.2。
4.8.7电子认证服务机构通知其他实体证书的签发
不作规定。
4.9证书撤销与挂起
4.9.1撤销的情况
下列情况出现时,证书必须被撤销并发布在证书撤销列表中:
z订户或电子认证服务机构有理由相信订户证书对应的私钥出现了安全问题
z电子认证服务机构有理由相信或怀疑其证书对应的私钥出现了安全问题
z有证据表明订户违反了电子认证业务规则和订户协议中的条款或相关法律法规
z订户协议终止
z电子认证服务机构相信证书中或者证书申请中的信息是错误的
4.9.2请求证书撤销的人
请求证书撤销的人包括:
z个人证书订户或其授权代表
z机构证书订户的授权代表
z电子认证服务机构的授权代表
z司法机关等公共权力部门的授权代表
苏州市数字证书认证中心电子认证服务协议(非个人) 数字证书(以下简称证书)是苏州市数字证书认证中心(以下简称苏州CA中心)签发的网上凭证,是为身份确实、资信可靠的个人、单位和服务器等在网上进行安全电子交易、安全电子事务处理等提供的一种身份认证。凡企业、机关团体、行政事业等单位、个人和服务器数字证书申请人(以下简称证书申请人)均可向苏州CA中心的业务受理审批单位申请领用数字证书。 为了保障数字证书申请人的合法权利,维护苏州市数字证书认证中心的合法经营权益,双方本着自愿、平等的原则,达成以下协议书条款,双方共同遵守执行。 一、协议双方的权利与责任 1.证书申请人的权利与责任 (1)证书申请人必须按照苏州CA中心的有关规定办理申请手续,如实提交各种申请材料,如实填写证书申请表格。证书申请人必须对所提供资料的真实性、合法性及完整性负责。 (2)证书申请人在身份审核时,故意或过失提供不真实资料,导致苏州CA中心签发证书错误,因而造成损失时,由证书申请人承担一切相关责任。 (3)证书申请人应当妥善保管苏州CA中心所签发的数字证书和私钥及保护密码,不得泄漏或交付他人。如因故意、过失导致他人知道或遭盗用、冒用、伪造或者篡改时,证书申请人应当自行负责承担一切责任;如遇遗失或被窃,应立即向苏州CA中心或其受理审批单位办理挂失/报失,并配合调查。 (4)如发生第(3)条情况,或者证书申请人不希望继续使用数字证书时,应当立即到受理审批单位申请报失数字证书。报失手续遵循苏州CA中心的规定。苏州CA中心在接到受理审批单位的报失申请后,在24小时内废止证书申请人数字证书。证书申请人应当承担在数字证书废止之前所有使用数字证书造成的责任。 (5)证书申请人数字证书的有效期为1年或2年。证书申请人必须及时提出数字证书更新请求。苏州CA中心对此不负任何责任。 (6)证书一律不得转让、转借或转用。因转让、转借或转用而产生的一切损失均由证书申请人负责。若单位的法人、网站等发生变动,应立即通知苏州CA中心。因证书申请人信息发生变化且未及时通知苏州CA中心更新证书信息而造成的不良后果由证书申请人自行承担。 (7)所有使用证书在网上进行的电子商务活动均视为证书申请人所为,因此而产生的一切后果均由证书申请人负责,证书申请人必须遵守国家的相关规定。 (8)证书申请、废止、更新等的审核权在苏州CA中心,证书申请人必须按照苏州CA中心制定的有关规定按期缴纳相关费用。如申请人未能按时缴纳费用的,由此产生的一切后果均由证书申请人承担。 (9)如果证书申请人单位停业或解散时,则其法定责任人需要携带相关证明文件及原数字证书申请表格存根,向苏州CA中心请求报失证书申请人数字证书。如果数字证书申请证明遗失,凭法律效力证明废止证书申请人数字证书。相关责任人应当承担其数字证书在废止前产生的一切行为。 2.苏州CA中心的权利与责任 (1)苏州CA中心发放的各类型数字证书只能用于在网络上标识身份、加密数据、保证网络安全通讯,不能作为其他任何用途。若证书申请人将其数字证书用于其他用途,苏州CA中心不承担任何责任。
电子认证服务密码管理规定 第一条 为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法 规的规定,制定本办法。 第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。省、自治区、直辖市密码管理机构依据本办法承担有关监督 管理工作。 第三条 提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。 第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下 称电子认证服务系统)使用商用密码。电子认证服务系统应当由具有 商用密码产品生产资质的单位承建。 第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。 第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。 第七条
申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构提交下列材料: (一)《电子认证服务使用密码许可证申请表》; (二)企业法人营业执照或者企业名称预先核准通知书的复印件; (三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明; (四)电子认证服务系统互联互通测试相关技术材料; (五)电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件; (六)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。 第八条 申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。 第九条 国家密码管理局对省、自治区、直辖市密码管理机构报送的材料进行核查,组织对电子认证服务系统进行安全性审查和互联互通测试,并自省、自治区、直辖市密码管理机构受理申请之日起15个工作日内,将安全性审查和互联互通测试所需时间书面通知申请人。电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安
电子认证服务业“十二五”发展规划
目录 一、“十一五”回顾 (1) (一)《电子签名法》配套政策法规逐步完善 (1) (二)电子认证服务市场规模不断扩大 (2) (三)电子认证应用范围日益广泛 (2) (四)电子认证技术稳步发展 (3) (五)电子认证标准规范体系初步形成 (3) 二、“十二五”面临形势 (4) (一)电子认证服务作用更加凸显 (4) (二)电子认证服务发展空间日益广阔 (5) (三)电子认证服务资源亟待整合 (5) (四)电子认证服务亟待创新与突破 (6) 三、指导思想与发展目标 (6) (一)指导思想 (6) (二)发展目标 (7) 四、重点任务 (8) (一)健全政策法规,完善电子认证服务发展环境 (8) (二)规范认证服务,突破重点领域电子认证服务瓶颈 9 (三)拓展应用市场,发展壮大电子认证服务业 (9) (四)开展试点示范,推动电子认证服务创新发展 (10) (五)完善标准规范,加强电子签名技术检测与认证服务监
督 (10) (六)开展合作交流,促进电子签名与认证跨境互认 .. 11 五、重大工程 (11) (一)数字证书交叉认证及应用试点工程 (11) (二)可靠电子签名与数据电文应用试点工程 (11) 六、保障措施 (12) (一)改进行政管理模式 (12) (二)加大资金保障力度 (12) (三)加快专业人才培养 (13) (四)营造良好社会氛围 (13)
根据《国民经济和社会发展第十二个五年规划纲要》和《2006-2020年国家信息化发展战略》的精神,按照《“十二五”工业转型升级规划》和《国民经济和社会发展信息化“十二五”规划》的总体部署,制定《电子认证服务业“十二五”发展规划》。本规划侧重指导第三方电子签名认证服务,是推进行业发展、开展行业管理、组织实施重大工程的依据。 一、“十一五”回顾 (一)《电子签名法》配套政策法规逐步完善 《电子签名法》为电子认证服务奠定法律基础。2005年4月1日实施的《电子签名法》确立了电子签名的法律效力。《电子签名法》关于数据电文的书面形式效力、原件效力、证据效力以及数据电文的存档与收发时间、收发地点的规定和由依法设立的电子认证服务机构提供电子签名第三方认证的要求,为电子签名的应用以及相关认证服务奠定了坚实的法律基础。 《电子签名法》配套政策法规逐步完善。依据《电子签名法》,工业和信息化部制定并发布了《电子认证服务管理办法》,对电子认证服务机构的设立、许可、服务、暂停和终止、法律责任以及监督管理作出了规定。相关部门从电子认证服务机构的密码使用及管理要求、电子政务领域的认证服务应用、电子商务领域的认证服务应用等方面制定了《电子认证服务密码管理办法》、《电子政务电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》等相关政策文件。部分省市还出台
电子认证服务协议文本 Effectively restrain the parties’ actions and ensure that the legitimate rights and interests of the state, collectives and individuals are not harmed ( 协议范本 ) 甲方:______________________ 乙方:______________________ 日期:_______年_____月_____日 编号:MZ-HT-074195
电子认证服务协议文本 在申请、接受或使用全球服务器数字证书之前,您必须先详细阅读本全球服务器数字证书订户协议(以下称订户协议)。若您不同意本订户协议之条款,请勿申请、接受或使用全球服务器数字证书。 本订户协议将于您向指定的发证机构交付证书申请的当日开始生效。藉由交付本订户协议(与证书申请),即表示您要求发证机构签发全球服务器数字证书予您,亦表示您已同意本协议中的条款。北京_______电子商务服务有限公司(下称_______)的公共认证服务受_______认证业务声明(以下称「认证业务声明」)所规范,认证业务声明将不定时修改,且视为本订户协议之一部份。认证业务声明公布于_______网站的资料库,网址为https://_________和ftp://_______________, 也可以通过E-mail:___________获得。认证业务声明之修
订条文也公布于_______的资料库中,具体网址为https://_______。 您必须同意,完全按照认证业务声明及本订户协议的条件使用全球服务器数字证书及相关的发证机构服务。您还必须同意,在信赖全球服务器数字证书、安全服务器证书或发证机构签发的其他证书的时候,明确遵守_______的「信赖方协议」和认证业务声明第8章的规定。该信赖方协议也公布在_______的资料库中,网址为https://_____________。除遵守认证业务声明及信赖方协议所载内容外,您还赞同并接受以下1-7部分。 附加信息及条款和条件: 1.出口许可 全球服务器证书的出口将符合中国相关法律法规的的规定。您必须符合上述有关规定,_______才会签发给您全球服务器数字证书。 2.全球服务器数字证书 全球服务器数字证书使您能使用128位的RC4或IDEA,56位的DES,双密钥Triple-DES加密技术,或_____可能采用的其他加
电子商务创业计划书
目录 摘要 (3) 第一章公司简介 (4) 公司宗旨 (4) 第二章电子商务的发展概况 (5) 一、全球电子商务发展概况 (5) 二、我国电子商务发展概况 (6) 第三章项目的必要性和迫切性 (9) 一、制约中小企业电子商务发展的因素分析 (9) 三、就业的压力与挑战 (11) 第四章项目运作规划 (13) 一、项目运作前期规划 (13) 二、项目运作中期规划 (14) 三、项目运作长期规划 (14)
第五章风险分析与应对措施 (15) 一、电子商务市场行情的风险 (15) 二、公司内部管理风险 (16) 第六章公司内部管理 (17) 一、公司形象 (17) 二、生活作息 (17) 三、卫生规范 (18) 四、工作要求 (19) 五、保密规定 (20) 六、人员管理 (20) 七、电脑管理 (20) 八、奖惩办法 (21) 九、培训管理 (22) 第七章总结 (24)
摘要 网上购物是互联网作为网民实用性工具的重要体现,随着中国整体网络购物环境的改善、网上支付和网上银行的快速发展,网络购物市场的增长趋势明显。新的商业模式和商品种类不断涌现,这都成为了电子商务和媒体各界的关注的焦点,正是看到了电子商务的市场前景和可拓展的空间,同时也充分结合自己本身的现状,首先选择在“淘宝”这个平台进行网上创业。 本计划书主要从六个方面阐述了我们的创业规划,其中包括公司简介、电子商务的发展概况、项目的必要性和迫切性、项目运作计划、风险分析与应对措施、财务管理和公司内部管理,综合分析创业项目的概况和规划。本公司是以联合联合志同道合的商家创办企业,落实李克强总理提出的“大众创业,万众创新”政策,借助政府扶持,以淘宝店铺经营为主要发展项目,实现群爆店铺的目标,将企业做大做强,扩大公司规模和岗位需求,带动全民创新、创业、就业,造福社会。
内部编号:AN-QP-HT786 版本/ 修改状态:01 / 00 The Contract / Document That Can Be Held By All Parties Of Natural Person, Legal Person And Organization Of Equal Subject Acts On Their Establishment, Change And Termination Of Civil Rights And Obligations, And Defines The Corresponding Rights And Obligations Of All Parties Participating In The Contract. 甲方:__________________ 乙方:__________________ 时间:__________________ 电子认证服务协议通用范本
电子认证服务协议通用范本 使用指引:本协议文件可用于平等主体的自然人、法人、组织之间设立的各方可以执以为凭的契约/文书,作用于他们设立、变更、终止民事权利义务关系,同时明确参与合同的各方对应的权利和义务。资料下载后可以进行自定义修改,可按照所需进行删减和使用。 在申请、接受或使用全球服务器数字证书之前,您必须先详细阅读本全球服务器数字证书订户协议(以下称订户协议)。若您不同意本订户协议之条款,请勿申请、接受或使用全球服务器数字证书。 本订户协议将于您向指定的发证机构交付证书申请的当日开始生效。藉由交付本订户协议(与证书申请),即表示您要求发证机构签发全球服务器数字证书予您,亦表示您已同意本协议中的条款。北京_____电子商务服务有限公司(下称_____)的公共认证服务受_____认证业务声明(以下称「认证业务声明」)所规
宁波热点网络科技有限公司产品介绍 1 企业简介 宁波热点网络科技有限公司成立于二〇一一年,是集网店托管体系、网店装修美工、网店运营推广、网店客服托管、网店培训体系为一体的电子商务公司,为中小企业提供网销策划和运营的营销服务外包业务,与高校合作共同培养大学生网络创业项目团队,精心打造大学生网络创业孵化平台。 公司凭借自身10多年的电子商务运营经验、营销推广团队、技术团队等方面的核心优势,在公司创立的第一年,销售总值达千万级,成功打造多个互联网品牌项目,如淘宝网、天猫(淘宝商城)、淘宝大学、京东商城、当当网等。同时也与多家实力企业合作,建立了长期的业务合作关系,如GXG男装、广博文具、雅戈尔GY等。公司独特的发展模式得到了当地相关政府部门的重视,成为宁波市政府重点扶持企业之一。 目前,公司已在无锡成立了新的分公司,这对公司今后的战略发展具有极大的意义。另外公司已经与宁波、绍兴地区的五所高校的电子商务系合作,建立五百人的大学生子电子商务服务外包团队。这一举措,一方面有利于为企业直接培养实战人才,减轻了企业的前期的工作负担。另一方面有利于学生更好地融入日后的工作岗位,有效避免了理论与实践脱轨现象的出现。 2.公司服务特色和优势 淘宝网店托管(客服、美工优化)、淘宝客服、美工外包、营销推广、直通车优化等都是热点的服务特色。 近10年的电子商务运营经验,两年多的淘宝外包服务经验、淘宝认证企业服务商,天猫认证企业服务商、团队高管均为北京总公司直接派驻管理、庞大的电子商务专业学生团队,客服及其外围推广的优势、降低企业运营成本,提高企业运营效率、共享淘宝广告资源及其他产品、物流资源。
工信部:将完善电子认证服务标准规范 本报记者万静 近日,引起社会各界广泛关注的支付宝(微博)用户“被捐款事件”,再次让中国数亿网络用户对网络支付安全环境产生担忧。 工信部今天公布的《电子认证服务业“十二五”发展规划》披露,身份盗用、交易诈骗、网络钓鱼等各种网上安全事件的频发,与蓬勃发展的网络应用的矛盾日益突出。据统计,我国有近1.28亿互联网用户遭遇过上述安全事件影响,初步估计损失超过150亿元,严重打击网络用户的信心,阻碍网络应用的快速发展。 为此,工信部表示,将根据信息化发展对身份认证、授权管理、责任认定等方面的需求,完善网络身份认证管理政策。 “被捐款”事件再敲警钟 近日,支付宝就用户因密码被盗等原因导致的“被捐款”事件作出回应。其相关负责人表示,经过与相关机构沟通决定,将全额退还此类非出自本人意愿的打款。同时,支付宝方面梳理并发布了若干安全支付须知,其中包括合理使用数字证书、支付盾、宝令等安全产品,呼吁用户提高安全意识。 这次“被捐款”事件早在今年8月就初露端倪,一位网友曾发布截图称,他两个月没有使用过支付宝,一次无意间登录发现其支付宝账号曾在自己未登录时捐给了某绿化基金会一毛钱。随后不少有相似经历的网友跟帖响应,直至9月底,此类事件已发生多起,“被捐款”的数额从一角到几元、几十元不等。 据了解,这类“捐款”疑是由木马、钓鱼网站等恶意攻击,导致的账户密码泄露。支付盾与用户的支付宝账户成对应绑定关系,申请使用后只有在电脑上插入与支付宝账户相匹配的支付盾才能对资金进行支付、转账等操作,否则只能进行查询。支付盾内设置微型智能卡处理器,与用户身份认证、账户安全息息相关的数字证书便蕴含在其中。 支付宝“被捐款”事件被媒体踢爆后,业内人士普遍对电子支付系统中的电子签名认证安全现状表示忧虑。知名网络法律专家王春晖认为,社会要求构建可信网络空间的需求日益迫切,而这其中最关键的环节就是建立统一规范的电子认证标准体系。 面临诸多法律问题待解 据工信部披露,截至2010年底,我国网民数量已突破4.5亿,网络购物用户数量1.61亿,电子商务交易额4.5万亿元。据预测,“十二五”期间,网络应用在国民经济和社会各领域将进一步普及深化,到2015年,电子商务年交易额将突破18万亿元,电子认证服务市场潜力巨大。 社保、医疗、保险等诸多公共服务领域将逐步深化电子认证的应用,电子病历、电子保单等更多业务将得到广泛开展。随着社会对电子认证服务的认可程度进一步提高,网络购物用户数量将迅速增长,网上交易活动开展更为频繁,在线招投标、电子合同签订与电子订购等业务将蓬勃发展。 但蓬勃发展的电子商务市场,也蕴涵着很多由电子认证服务法律制度滞后所引发的问题。多年致力于研究电子商务法律研究的、北京京都律师事务所律师黄永华说,电子商务合同主要是双方通过电子形式(email;传真;电话;或者网络电子表格等等)来签订的。电子商务进行的是无纸贸易,其在形式上和法律效果上与传统合同相比有很大的变化,这涉及电子签名的法律地位和效力问题,必然产生很多问题。 比如,电子商务合同双方当事人基本属于不见面,双方都通过网络虚拟平台进行运作,其信用仅仅依靠密码的辨认或认证机构的认证,密码认证的虚拟性和认证机构认证的多样性
管理体系认证辅导项目服务合同 甲方(企业方):广东省南方传媒发行物流有限公司乙方(服务方): 甲乙双方依据《中华人民共和国合同法》及其他相关法律、法规的规定,商定双方按照国家认证认可的有关法律法规和认证方案为甲方提供管理体系认证的申请受理、认证咨询、体系导入培训辅导、建立体系文件等阶段的体系导入辅导服务。为明确双方职责,使管理体系认证辅导项目服务保质、保量按期完成,经甲乙双方协商达成如下条款,签订本合同。 第一条管理体系认证辅导项目及费用如下: 注:甲乙初步约定管理体系认证辅导在年月日至年月日期间进行(具体时间以双方确定的计划为准); 第三条双方义务 甲乙双方遵守国务院《认证认可条例》和国家有关认证认可行政规章制度的规定。
3.1甲方义务: 1.始终遵守认证的相关要求、遵守认证认可相关法律法规,并有义务协助认证监管 部门的监督检查,对有关事项的询问和调查如实提供相关材料和信息。 2.按申请文件、认证方案的要求,提供真实充分的信息和记录。 3.在认证体系培训期间,如管理体系发生变化及异常情况应及时通知乙方,包括但 不限于: a)客户及相关方有重大投诉; b)生产、销售的产品或提供的服务被国家行政主管部门认定不合格,或环境、安全等监测不合格; c)被执法监管部门责令停业整顿或在全国企业信用信息公示系统中被列入“严重违法企业名单”; d)发生质量、环境、安全等重大事故; e)相关情况发生变更(包括:法律地位、生产经营状况、组织状态或所有权变更、强制性认证或其他资质证书变更); f)法定代表人、最高管理者、管理者代表发生变更; g)生产经营或服务的工作场所变更; h)管理体系覆盖的活动范围变更; i)管理体系和重要过程的重大变更等; j)出现相关管理体系认证实施方案规定的影响管理体系运行等其他重要情况。 4.按期向乙方交纳本合同规定的体系导入辅导培训费用。由于不按期支付,所造成体系导入辅导不能如期实施、未能成功通过证书审核未能成功通过的后果由甲方承担。 6.如在体系导入辅导期间,甲方认证证书范围、涉及认证范围人数发生变化,辅导费用双方协商后按相关法规或国家认证要求进行调整。 3.2乙方义务: 1.验收标准: a)按约定时间为甲方提供管理体系认证的申请受理、认证咨询和体系导入培 训辅导服务。如审核未通过,乙方需继续给予甲方提供培训和指导,直到认证审核通过为止。 B)若因乙方未能履行本合同规定的义务而造成甲方未能通过体系导入辅导和获得认证资质证书,乙方对此给甲方造成的损失,乙方应按合同中涉及金额的 30%咅偿甲方因此而遭受的损失。 2.乙方应根据甲方认证方案在委托的认证范围内公正、客观、科学地开展认证体系导入辅导活动。
电子商务服务业兴起和发展—梁春晓 什么是电子商务服务业?如果将“电子商务应用”与“电子商务服务”比作市场经济中的需求与供给,那么前者是指一个个具体的机构和个人如何运用电子商务方式实现商务目标——如采购、销售或获取商务信息等,后者是指如何提供一定的服务以满足这些需求——如域名注册、虚拟主机、商务信息、认证和支付等服务。所有提供电子商务服务的企业的**就是电子商务服务业,或称电子商务服务产业、电子商务服务行业。 纵观互联网发展,商务活动一直是驱动互联网发展的强大力量。1995年,互联网上的商务信息量首次超过科教业务信息量,这是互联网此后形成爆炸性发展的标志,也是电子商务产生并从此大规模发展的标志。过去是这样,那么未来呢?互联网的未来在于电子商务,电子商务的未来在于电子商务服务业,而电子商务服务业的核心是电子商务服务平台。以电子商务平台——特别是面向中小企业的电子商务服务平台为核心的电子商务服务业将成为促进电子商务应用、创新和发展的重要力量。 一、电子商务服务业的体系 可以在两种既密切相关又有所区别的意义上使用“电子商务服务业”的概念:一是指一切为电子商务应用服务的企业的集合,如提供电子商务咨询服务的企业;二是指一切通过网络或采用电子商务方式提供服务的企业的集合,如网上医疗企业。前者以电子商务为服务目的,后者以电子商务为服务工具。 可以将后者称为“网基服务业”,即基于网络或电子商务方式的服务业。这个课题将另文讨论。 前者意义上的电子商务服务业的范围有多大?电子商务服务业是为电子商务应用提供服务的,因此电子商务应用方面的需求有多大,作为供给的电子商务服务业的范围就有多大,甚至更大——因为供给可能创造原先并不存在的需求。电子商务服务业涉及机构和个人的商务、工作和生活的各个环节、层面和范围。对于企业电子商务应用,就是说要提供全面、强大的电子商务应用支持服务,包括网络、硬件和软件等技术支持,也包括营销推广、应用集成、信用、支付、物流和咨询等全方位的商务服务。 对于面向企业的电子商务服务业—— 按行业范围划分,可以分为综合性电子商务服务和行业性电子商务服务。前者不区分行业,为所有行业厂商和所有产品、服务提供交易服务,如阿里巴巴、慧聪网等;后者专注于某一行业或产品、服务,如中国化工网等。 按交易环节划分,可以分为全程交易服务和专项交易服务。前者为交易全程提供交易服务,后者专注于某一个交易环节,如市场调查、采购、分销或售后等。 此外,还可以按服务对象(是厂商还是个人消费者)、交易品(是有形的还是无形的)、服务媒介(是线上还是线下)、地域(是地方还是全球)等划分。
电子认证服务协议示范文 本 In Order To Protect Their Legitimate Rights And Interests, The Cooperative Parties Reach A Consensus Through Consultation And Sign Into Documents, So As To Solve And Prevent Disputes And Achieve The Effect Of Common Interests 某某管理中心 XX年XX月
电子认证服务协议示范文本 使用指引:此协议资料应用在协作多方为保障各自的合法权益,经过共同商量最终得出一致意见,特意签订成为文书材料,从而达到解决和预防纠纷实现共同利益的效果,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 电子认证服务协议 电子认证服务协议 在申请、接受或使用全球服务器数字证书之前,您 必须先详细阅读本全球服务器数字证书订户协议(以下称订 户协议)。若您不同意本订户协议之条款,请勿申请、接受 或使用全球服务器数字证书。 本订户协议将于您向指定的发证机构交付证书申请 的当日开始生效。藉由交付本订户协议(与证书申请),即表 示您要求发证机构签发全球服务器数字证书予您,亦表示 您已同意本协议中的条款。北京_______电子商务服务有限 公司(下称_______)的公共认证服务受_______认证业务声明 (以下称「认证业务声明」)所规范,认证业务声明将不定时
修改,且视为本订户协议之一部份。认证业务声明公布于_______网站的资料库,网址为https://_________和ftp://_______________, 也可以通过e-mail:___________获得。认证业务声明之修订条文也公布于_______的资料库中,具体网址为https://_______。 您必须同意,完全按照认证业务声明及本订户协议的条件使用全球服务器数字证书及相关的发证机构服务。您还必须同意,在信赖全球服务器数字证书、安全服务器证书或发证机构签发的其他证书的时候,明确遵守_______的「信赖方协议」和认证业务声明第8章的规定。该信赖方协议也公布在_______的资料库中,网址为https: //_____________。除遵守认证业务声明及信赖方协议所载内容外,您还赞同并接受以下1-7部分。 附加信息及条款和条件:
中国电子认证服务产业联盟成立 2011-12-12 15:50 来源:光明网打印本页关闭 当前,信息技术正以前所未有的速度、广度与深度,深刻影响着经济和社会生活。与此同时,我国网络社会也面临着身份难识别、权限难控制、责任难认定等问题,阻碍了电子政务和电子商务的发展。要建立网络信任,电子认证是基础。 为推动电子认证行业的发展,中国电子签名与认证服务专家组和中国电子认证服务产业联盟(CEAIA)于12月5~6日先后成立。 以联盟构建产业合力 12月6日,电子认证服务产业联盟成立大会公布了联盟第一届理事会成员单位,共推选出理事长单位1家、副理事长单位7家、常务理事单位6家,并依此推举了理事长1人、副理事长8人、常务理事6人及秘书长1人。 目前,中国电子认证服务产业联盟共有成员单位39家,联盟由30家电子认证服务机构和8家电子认证上下游单位和企业组成,这8家单位分别是:中国电子信息产业发展研究院、工业和信息化部第五研究所、广州信息安全测评中心、奇虎360、买卖网、吉大正元信息技术股份有限公司、上海格尔软件股份有限公司、北京创原天地科技有限公司。 该联盟的宗旨是:贯彻执行中国关于电子认证服务产业发展的方针、政策、规划,提升产业整体技术创新及服务水平,推广电子签名
和电子认证服务应用,促进形成完善的电子认证服务产业链和成熟健康的应用市场,维护产业和成员单位的合法权益,形成行业整体力量。 该联盟的愿景是:以电子认证技术和服务创新为基础,以推广可靠电子签名应用为核心,成为推动中国电子认证服务产业发展的重要行业组织。 工业和信息化部信息安全协调司司长赵泽良对于联盟的成立给予了充分肯定,他在联盟成立大会上表示,当前,我国电子认证服务产业发展的突出问题是应用推广问题。推广应用不能依靠单个机构,要加强行业资源整合,形成行业整体力量。因此,电子认证服务产业联盟的成立很有意义。 在电子认证服务产业联盟成立前一天,电子签名与认证服务专家组成立。该专家组共有17名委员,他们分别来自中国贸促会电子信息行业分会、中国科学院信息安全重点实验室、中国社会科学院、国家税务总局信息中心、北京大学等电子签名与认证应用部门、科研机构和高等院校。 成立电子签名与认证服务专家组,可充分发挥专家的智慧和作用,让他们为电子签名与认证服务业监管及行业发展提供决策建议,提高电子签名与认证服务业监管等工作的科学化、规范化水平。 电子认证服务业快速发展 《电子签名法》施行后,我国电子认证服务业获得较快发展。 近几年,电子认证服务业以推进网络信任体系建设为主旨,其工作主要围绕以下几个方面进行:依法进行电子认证服务行政许可和监督管理工作,对监督管理工作不断进行完善和创新;结合实际情况修订完善相关法律法规,制定电子认证服务相关规范;促进数字证书交叉认证,推进电子签名与认证应用;制定行业规则,确定行业发展的指导思想和发展思路。 其中,在监督管理工作方面,主要创新体现在:修订《电子认证服务管理办法》,研究制定并发布了《电子认证业务规则规范》(试行)等行业规范,不断完善监管制度,改善监管方式。 在推进数字证书交叉互认工作方面,一方面推进了跨境证书的互认工作,另一方面推进了跨区域的数字证书互认应用。目前,江苏省、浙江省、安徽省、上海市三省一市电子认证服务机构联合建设了“长三角数字证书应用互联互通应用平台”,在开展数字证书应用互认方面,进行了积极的探索。 目前,经工业和信息化部审批,获得电子认证服务行政许可的认证机构已达31家。截止到2010年底,获批的电子认证服务机构总资产规模达到20.1亿元,销售收入达到13.2亿元。
电子商务就业方向 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
电子商务就业方向:电子商务专业能干什么? 一、首先说明一下电子商务专业方向: 【电子商务专业方向】 目前国内大部分高校设以下方向: 1、营销:网络营销方向; 2、技术:网站编程设计方向、网络支付与安全; 3、信息管理:企业信息化、信息管理与信息系统、电子政务、供应链管理; 4、法学:电子商务法;(非电子商务专业) 5、经济金融学:电子商务国际贸易; 6、物流:电子商务物流管理 电子商务专业在不同高校课程设置一般不同,一些院校注重计算机技术,一些注重企业管理和商务模式,这些体现在电子商务专业所在院系,一般有管理学院、经济学院、计算机科学学院、信息技术学院、软件学院等(在管理学院居多),各个院校培养出来的毕业生的专业技能和专业意识也会有一定的区别。 二、电子商务就业方向: 【电子商务工作方向】 电子商务专业毕业生可从事: 1、网站前端设计:网页设计、网页美工、网站前台代码优化等;(技能需求:html, div+css,javascript,dreamweaver,flash,photoshop,fireworks等) 2、网站后台设计:网站建设和维护;(技能需求:前端开发的技能和一门网站编程语言如PHP、ASP、https://www.doczj.com/doc/1111057764.html,、JSP、Java、C#等,一般熟练掌握一门语言即可) 3、网站运营:网络编辑、网站策划、网络客户服务(即客服)、网站数据监控和数据挖掘、网站CRM(客户关系管理);(技能需求:软文写作能力,内容策划能力,沟通交流能力,数据分析能力等) 4、网络营销:SEO(搜索引擎优化)、SEM(搜索引擎营销)、网络广告投放、网络整合营销、企业营销策划、国际贸易(网络方向)等;(技能需求:基本网站建设技术、SEO技术、SEM 竞价广告知识、基本网络市场营销技能等) 5、网络销售:电话营销、产品营销顾问等;(技能需求:市场营销能力、沟通交流能力等) 6、电子商务运营:电子商务项目管理、互联网产品经理、第三方电子商务平台管理(如管理企业的阿里巴巴店、淘宝店、天猫店、京东店等)、电子商务活动的策划与运作;(技能需求:三年以上工作经验,从底层做起的电子商务从业者) 【四种电子商务行业类型】 1、电子商务企业 网上商城类:如阿里巴巴、淘宝、天猫、京东商城、苏宁易购、亚马逊、当当网、凡客、一号店、团购网站等; 门户网站类:如腾讯(开辟拍拍、QQ网购、QQ商城、易迅等电子商务项目)、百度(网络营销广告竞价系统);
企业“小升规”申报所需材料和流程 从2016年12月15日起,区“小升规”申报工作按以下要求开展: 一.区级认定 (一)区级申报材料 1.封面(样式见附件1) 2.基本情况表(样式见附件2) 3.工商营业执照复印件 4.税务登记证复印件(若三证合一企业只需提供营业执照)。 5.2016年度纳税20万的完税证明或者缴纳20万履约保证金的证明。 6.企业调查摸底表(必须填写有供电用户号) (二)区级申报流程 1.帮扶单位负责挂点企业的申报资料的收集,统一收集好交给所在乡镇;乡镇汇总梳理后,统一报送区转企办。 2.转企办只接受乡镇报送的材料,将材料初审后交复核组审查。 3.复核审查组通过上门复核、会议联审后,认定企业是否达到区级规上标准。 4.达到标准的企业,由转企办统计归档,并将名单企业服务组,负责优惠政策的兑现落实。未达到标准的企业,由转企办通知乡镇领回材料整改。 二.省级入规 (一)省级申报材料 除了区级申报材料需要的资料外,还要补充以下资料: 1.中华人民共和国组织机构代码证(副本)复印件。(若三证合一企业只需提供营业执照)。 2.截至申报期最近1个月的利润表复印件。
3.截至申报期最近1个月的企业增值税纳税申报表及增值税纳税申报表附列资料(表一)(与国税端报表格式一致) 4.现场核查表(各部门或企业将照片插入现场核查表,打印后盖章扫描,只要电子版) (二)省级申报流程 1.需要申报省级入规的企业,必须已经通过区级认定。 2.由转企办将申报省级入规企业的资料移交统计局,统计局进行资料审核,有问题直接联系挂点帮扶干部进行整改。 3.税务申报表不再由转企办统一盖章,请各乡镇、挂点帮扶单位认真按照省级申报要求,做好申报表填写工作。 4.统计局将复核条件的企业录入系统。
卫生部复审、测试的数字证书认证服务机构名单 根据《卫生系统电子认证服务管理办法(试行)》和《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和卫生系统电子认证服务体系建设系列技术规范的要求,经认真复核和测试,现公布通过卫生部复审、测试的数字证书认证服务机构名单,名单如下: 第一批通过卫生部复审、测试的数字证书认证服务机构名单(中华人民共和国卫生部通告(2010)23号)(中华人民共和国卫生部 2010-11-0414:35:09) 一、北京数字证书认证中心有限公司 二、上海市数字证书认证中心有限公司 三、江苏省电子商务证书认证中心有限公司 四、东方中讯数字证书认证有限公司 五、湖南省数字认证服务中心有限公司 六、福建省数字安全证书管理有限公司 第二批通过卫生部复审、测试的数字证书认证服务机构名单(中华人民共和国卫生部通告(2011)1号)(中华人民共和国卫生部2011-01-07 08:57:21) 一、新疆数字证书认证中心(有限公司) 二、国投安信数字证书认证有限公司 三、山西省数字证书认证中心(有限公司) 四、河南省数字证书有限责任公司 五、山东省数字证书认证管理有限公司 六、江西省数字证书有限公司 第三批通过卫生部复审、测试的数字证书认证服务机构名单(卫通〔2011〕9号) (中华人民共和国卫生部 2011-05-09 17:55:03)
一、陕西省数字证书认证中心有限责任公司 二、广东省电子商务认证有限公司 三、辽宁数字证书认证管理有限公司 四、广东数字证书认证中心有限公司 五、西部安全认证中心有限责任公司 六、河北省电子商务认证有限公司 第四批通过卫生部复审、测试的数字证书认证服务机构名单(卫通〔2012〕2号) (中华人民共和国卫生部 2012-03-01 12:28:43) 一、安徽省电子认证管理中心有限责任公司 二、湖北省数字证书认证管理中心有限公司 三、浙江省数字安全证书管理有限公司 四、深圳市电子商务安全证书管理有限公司
国家标准《电子认证服务机构从业人员岗位技能规范》 (征求意见稿)编制说明 一、工作简况 1.1任务来源 《电子认证服务机构从业人员岗位技能规范》是全国信息安全标准化技术委员会2010年下达的信息安全国家标准制定项目,国标计划号为:20111604-T-469。由北京天威诚信电子商务服务有限公司负责起草。 主要工作过程 2010年6月,北京天威诚信电子商务服务有限公司就召集相关人员举行了第一次会议,成立了标准工作组,就工作组成员、组织形式、工作机制,项目具体研究内容、研究范围,项目工作计划、时间安排、成员单位的任务分工及其它事项达成了一致意见。 2010年8月,标准工作组先后召开了两次规范起草会议,就本规范的编写提纲、编写内容、专业术语、章节编排以及规范具体细节内容开展了多回合的讨论,形成电子认证服务机构从业人员岗位技能规范编写思路。 2011年2月,在全国电子认证服务年会上讨论了本规范初稿,收集整理和各电子认证服务机构反馈的意见,并进行了修改调整,细化了岗位设置,明确了安全要求。 2011年8月,就课题研究进度向安标委WG7工作组领导做了中期汇报。 2012年2月,北京天威诚信电子商务服务有限公司征求安标委WG7工作组相关领导和专家的意见,对关键岗位进行了重新梳理,对从业人员技能要求进行了细化和明确,并突出了电子认证服务行业特殊性。 2012年4月,参加了WG7工作组在北京召开的“信息安全服务标准研讨会”。会议中,天威诚信从标准的框架及作用,信息安全服务类标准的建议等方面对电子认证服务机构从业人员岗位技能规范标准情况进行了详细的汇报,并邀请全国信安标委WG1组专家就信息安全服务标准相关问题进行研讨和交流。 2012年11月,北京天威诚信电子商务服务有限公司形成了草案,并提交安标委。 2013年9月,参加了WG7工作组在北京召开的阶段性专家评审会,会议中
认证服务合同 合同编号: 甲方:乙方:上海美橙科技信息发展有限公司联系电话:联系电话: 传真:网址: 地址:地址:上海黄浦区局门路457号408室欢迎申请安全联盟网站认证服务,xx电子商务协会信用管理委员会是工信部主管,商务部、国资委文件授权的国家级第三方认证机构。上海美橙科技信息发展有限公司(以下简称“乙方”)是官方授权的认证服务商。安全联盟可信验证服务,对网站内容、负责人、主办方等信息进行严格审核,以确保网站的真实可信。网站通过实名网站认证后,在可信终端软件显著位置处显示该网站的认证标识及实体认证信息,有效提升网站可信形象。 根据及其他法律法规,为明确甲乙双方的权利和义务关系,经双方友好协商,一致达成如下约定,共同遵守。 一、服务项目: 服务项目备注: 甲方同意并接受本合同向乙方提交“安全联盟”验证服务的申请,并支付相应服务费用。乙方为甲方提供相应服务。本合同服务费用合计人民币(大写)叁万零仟零佰零拾零元整,如甲方为增值税一般纳税人,乙方开具增值税专用发票。若甲方申请的认证服务复审不通过,乙方全额退还本合同金额。 二、网站认证服务有效期: xx 年 4 月 10 日至 2022 年 4 月 09 日。网站认证服务有效期起始时间以该网站认证终审通过代码生成之日为准。 三、服务费支付:甲方在签订本合同的3个工作日内一次性向乙方支付本合同约定的服务费款项。 四、收款单位:户名:上海美橙科技信息发展有限公司,开户行:招商银行上海分行东方支行,账号:2001 五、双方权利与义务。1.甲方在申请“安全联盟”验证服务时,应按照申请规则提供真实、准确、完整的注册信息。如甲方提供的注册信息不符合上述规定,乙方有权作废已签发的“安全联盟”验证服务,因之产生的责任由甲方承担,甲方亦不得要求乙方退还本合同费用。2.“安全联盟”验证服务作废前,甲方因使用该“安全联盟”验证服务给他人造成损失的,由甲方承担赔偿责任。“安全联盟”验证服务不得转让、出租或者转借,若转让、出租或者转借的,乙方有权作废该“安全联盟”验证服务;因转让、出租或者转借所产生的相关责任由甲方承担。3.“安全联盟”验证服务有效期大于甲方营业执照或组织机构代码证有效期时,如甲方未能在上述证照到期前提供证照有
中国电商服务业概况研究-行业概述 (一)行业概述 1、电子商务行业的发展情况 电子商务的快速发展源于20世纪90年代,经过二十多年快速发展,电子商务行业走过了从电子商务技术、电子商务服务到电子商务经济的发展道路,经历了从具体的技术应用发展到相关产业的形成,并通过创新与协同发展融入国民经济的各个组成部分的发展历程。当前,电子商务经济已经形成了从商品交易、资金传输、商务活动、供应链体系建设,到商业发展、产业链体系和产业集群形成的发展模式。 随着近年来的快速稳健发展,电子商务经济以其开放性、全球化、低成本、高效率的优势,广泛渗透到生产、流通、消费及民生等领域,在培育新业态、创造新需求、拓展新市场、促进传统产业转型升级、推动公共服务创新等方面的作用日渐凸显,成为国民经济和社会发展新动力,是推动“互联网+”发展的重要力量,是新经济的主要组成部分。 凭借着无可比拟的便利性,电子商务在中国蓬勃发展,在快消品领域表现得尤为明显。根据贝恩咨询发布的《2017 年中国购物者报告》,2012 至2016 年在快消品城镇零售渠道销售中,电商渠道的年复合增长率为40.8%,2015 至
2016年复合增长率更升至52.6%,远超便利店、超市、大卖场、杂货店等其他零售渠道。此外,2016 年,电商渠道占快消品城镇零售渠道销售的比例达7%,而这一比例在2014 年仅3.5%,两年时间实现翻番。中国的电商市场规模已经是世界第一而且依然保持着告诉发展的趋势。究其快速发展的原因,可以归纳为以下几点: (1)互联网和移动互联网不断渗透普及,为电子商务快速发展奠定良好的用户基础 在全球新一轮科技革命和产业变革中,互联网与各领域的融合发展具有广阔前景和无限潜力,已成为不可阻挡的时代潮流。近年来,在国家相关政策的有利推动下,《互联网行业“十二五”发展规划》、《电子商务“十三五”发展规划》相继发布、“宽带中国”战略深入落实,“互联网+”行动积极推进。随着法律制度体系的日益健全、行业利好政策的颁布实施和网络通信设施的大力投入,我国电子商务领域迎来了有史以来快速发展的最佳时机。 根据中国互联网络信息中心(CNNIC)统计数据,截至2017 年6 月,中国网民规模达到7.51 亿,占全球网民总数的五分之一;互联网普及率为54.3%,超过全球平均水平4.6 个百分点。在网络环境大幅改善的基础上,中国网民数量不断增长,人均互联网消费能力逐步提升,为电子商务的发展奠定了良好的基础。