Organisations-Assurance-Richtlinie
Diese deutsche Übersetzung dient nur der unverbindlichen Information. Es gilt nur die englischsprachige Fassung "Organisation Assurance Policy" (OAP). Zudem sind in der Übersetzung spätere Änderungen der englischsprachigen Fassung m20070928.1 von Jens nicht berücksichtigt.
0. Vorbemerkungen
Diese Richtlinie beschreibt, wie Organisations-Assurer ("OAs") Assurances (Überprüfen der Identität) bei Organisationen durchführen. Sie bleibt im Rahmen des allgemeinen Web of Trust oder Assuranceprozesses von Cacert.
Diese Richtlinie ist kein kontrolliertes Dokument im Sinne der Configuration Control Specification ("CCS").
1. Zweck
Organisationen mit assurtem Status können direkt Zertifikate erstellen, die ihre eigene Domain enthalten.
Der Zweck und die Aussage des Zertifikats bleiben die gleiche wie mit gewöhnlichen Nutzern (natürlichen Personen) und wie in der CPS beschrieben.
- Die darin genannte Organisation ist identifiziert.
- Die Organisation wurde gemäß dieser Richtlinie überprüft.
- Die Organisation ist innerhalb der Rechtsordnung und kann vor das Schiedsgericht gebracht werden.
2. Rollen und Strukturen
2.1 Assurance Officer
Der Assurance Officer ("AO") verwaltet diese Richtlinie und untersteht dem Vorstand.
Der AO leitet alle OAs und ist verantwortlich für die Durchführung, das Formular "CAcert Organisations-Assurance-Programm" ("COAP"), OA-Ausbildung und -Prüfung, Handbücher, Qualitätskontrolle. Bei diesen Zuständigkeiten werden ihn die anderen Officer unterstützen.
2.2 Organisation-Assurer
- Ein OA muss ein erfahrener Assurer sein
- 150 Assurancepunkte.
- Voll ausgebildet und geprüft sein in allen allgemeinen Assuranceabläufen.
- Muss als Organisations-Assurer ausgebildet sein.
- Globalkenntnisse: Diese Richtlinie.
- Globalkenntnisse: Ein OA-Handbuch behandelt die Durchführung.
- Lokalkenntnisse: Rechtsformen von Organisationen innerhalb der Rechtsordnung.
- Grundlegende Leitungsregeln.
- Ausbildung kann auf verschiedene Wegen geschehen, wie etwa praktische Ausbildung, etc.
- Muss geprüft werden.
- Globalprüfung: Behandelt diese Richtlinie und die Durchführung.
- Lokalkenntnisse: Zu erstellende Tochterrichtlinie.
- Prüfungen nur von CAcert zu erstellen, zu genehmigen, zu prüfen, durchzuführen, zu überprüfen (keine Fremdvergabe).
- Prüfungen werden manuell durchgeführt, nicht online/automatisch.
- Dokumentation wird aufbewahrt.
- Prüfungen können praktische Komponenten enthalten.
- Muss genehmigt werden.
- Zwei beaufsichtigende OAs müssen den neuen OA als ausgebildet, geprüft und bestanden abzeichnen.
- AO muss einen neuen OA als beaufsichtigt, ausgebildet und geprüft abzeichnen.
2.3 Organisations-Administrator
Der Administrator innerhalb jeder Organisation ("OrgAdmin") ist derjenige, der Assurancewünsche und das Ausstellen der Zertifikate bearbeitet.
OrgAdmin muss Assurer sein
- Hat 100 Assurancepunkte.
- Voll ausgebildet und geprüft als Assurer.
Von der Organisation wird verlangt, einen OrgAdmin zu bestimmen, und hat auf Verlangen welche zu bestimmen.
- Auf dem Anfrageformular COAP.
OrgAdmin muss mit einem zugewiesenen OA zusammenarbeiten.
- Hat Kontaktdaten.
3. Richtlinien
3.1 Richtlinie
Es gibt eine Richtlinie, die dieses vorliegende Dokument ist, und mehrere Tochterrichtlinien.
- Diese Richtlinie ermächtigt zum Erstellen von Tochterrichtlinien.
- Diese Richtlinie ist international.
- Tochterrichtlinien sind Umsetzungen dieser Richtlinie.
- Organisationen werden unter der entsprechenden Tochterrichtlinie assured.
3.2 Tochterrichtlinien
Die Natur der Tochterrichtlinien ("ToRis"):
ToRis bezwecken, die Organisation nach den Regeln der Rechtsordnung zu prüfen, nach der die Organisation gegründet wurde. Damit ist nicht die Absicht von CAcert verbunden, sich der lokalen Rechtsordnung zu unterwerfen, und auch nicht die Absicht, die Regeln dieser Rechtsordnung einer anderen Organisation aufzuerlegen. CAcert Assurances werden unter der Rechtsordnung von CAcert durchgeführt.
Für OAs legen ToRis die Prüfungen lokalen Wissens einschließlich der lokalen Organisationsformen fest.
Für Assurances legen ToRis die lokalen Dokumentationsformulare fest, die unter dieser ToRi zulässig sind, um dem Standard zu entsprechen.
ToRis unterliegen dem normalen Genehmigungsverfahren für Richtlinien.
3.3 Freiheit beim Einsatz
Tochterrichtlinien sind offen, zugänglich und frei zu benutzen.
ToRis konkurrieren, aber sind kompatibel.
Keine ToRi ist exklusiv.
- Viele werden auf Staats- oder Nationalgrenzen basieren, die Rechtstradition der Organisationsgründung ("Handelsregister") durch Staaten wiedergebend.
Jedoch sind strikte nationale Grenzen nicht nötig; es ist möglich, zwei ToRis in einem Land zu haben, oder eine, die mehrere Länder mit derselben Sprache abdeckt (z.B. Österreich mit Deutschland; England mit Wales, aber nicht Schottland).
Es kann also auch ToRis for spezielle Organisationen, Ein-Personen-Organisationen, UN-Sonderorganisationen, Kirchen, etc. geben.
Wo es sachgerecht ist, die ToRi in einer anderen Situation (in einem anderen Land?) zu nutzen, kann sie dafür genehmigt werden. (Z.B. könnte die österreichische ToRi für Deutschland genehmigt werden.) In der ToRi muss diese Genehmigung eingetragen sein.
4. Durchführung
4.1 Standard der Organisations-Assurance
Der wesentliche Standard der Organisations-Assurance ist:
- die Organisation existiert
- der Name der Organisation ist korrekt und einheitlich:
in offiziellen Dokumenten, die in der ToRi vorgegeben sind.
- auf dem Formular COAP.
- in der CAcert-Datenbank.
- Form oder Typ der juristischen Person ist einheitlich
- Zeichnungsberechtigung: der Antragsteller kann im Namen der Organisation unterschreiben.
- die Organisation hat den Bestimmungen des Registered User Agreement zugestimmt, und unterwirft sich somit dem Schiedsverfahren (Arbitration).
Zulässige Dokumente, um den obigen Standard zu entsprechend, sind in der ToRi angegeben.
4.2 COAP
Das Formular COAP dokumentiert die Überprüfungen und die resultierenden Assuranceergebnisse, um dem Standard zu entsprechen. Weitere auf dem Formular anzugebende Daten:
CAcert-Konto des OrgAdmins (E-Mail-Adresse?)
- Ort:
- Land (MUSS).
- Stadt (MUSS).
weitere Kontaktdaten (wie von der ToRi verlangt).
- Kontonamen des Administrators (1 oder mehrere)
- Domainname(n)
- Zustimmung zum registered user agreement. Erklärung und Initialenfeld für die Organisation und ebenso für den OA.
- Datum des Fertigstellung der Assurance. Aufzeichnungen sollen 10 Jahre von diesem Datum an aufbewahrt werden.
Das COAP soll auf Englisch sein. Wenn Übersetzungen bereitgestellt werden, sollen sie mit dem Englischen übereinstimmen, und den Hinweis geben, dass das Englisch die geltende Sprache ist (wegen der Schiedsbestimmungen).
4.3 Rechtsordnung
Organisations-Assurances werden von CAcert Inc unter seiner Schieds-Rechtsordnung (Arbitration) durchgeführt. Tätigkeiten, die von OAs durchgeführt werden, stehen unter dieser Ordnung.
- Die Organisation hat den Bestimmungen des Registered User Agreement zugestimmt,
- Die Organisation, die Organisation-Assurer, CAcert und andere damit zusammenhängende Parteien sind an CAcerts Rechtsordnung und Schlichtung gebunden.
- Der OA ist verantwortlich sicherzustellen, dass die Organisation das registered user agreement liest, versteht, will und ihm zustimmt. Diese Verantwortlichkeit des OA soll auf dem COAP festgehalten werden (Erklärung und Initialenfeld).
5. Ausnahmen
Interessenkonflikte. Ein OA darf nicht eine Organisation assuren, zu der eine enge oder direkte Beziehung durch z.B. Arbeitsverhältnis, Familie oder finanzielle Interessen besteht. Andere Interessenkonflikte müssen offengelegt werden.
Vertrauenswürdige Dritte (Trusted Third Parties). TTPs sind nicht generell berechtigt, an der Organisations-Assurance teilzunehmen, aber können von Tochterrichtlinien anerkannt werden entsprechend lokalen Bedürfnissen.
Sonderorganisationen. (z.B. der Vatikan, die Internationale Raumstation, die Vereinten Nationen) können mit einer Einzelorganisations-Tocherrichtlinie behandelt werden. Der OA erstellt die Prüfungen, dokumentiert sie, und unterzieht sie der normalen Richtliniengenehmigung.
Firmenname. Alternative Namen für Organisationen (Firmenname; englisch DBA, "doing business as") können hinzugefügt werden, solange sie unabhängig überprüft sind. Z.B. Registereintragung als DBA oder Inhaber einer eingetragenen Marke. Das bedeutet, dass die Anglo-Rechtstradition unregistrierter UBAs nicht ohne weitere Nachweise anerkannt wird.