Sustav certificiranja Zagrebačke banke

Banka svojim klijentima (građanima i poslovnim subjektima) omogućava ugovaranje određenih proizvoda i usluga putem direktnih kanala Banke te u vezi s tim potpisivanje ugovorne dokumentacije kvalificiranim elektroničkim potpisom koji ima jednaku pravnu snagu kao i vlastoručni potpis. Osim toga, Banka svojim ovlaštenim zaposlenicima omogućava uporabu kvalificiranog elektroničkog potpisa u svrhu elektroničkog potpisivanja ugovora i druge poslovne dokumentacije u poslovnim odnosima Banke s njenim klijentima. U tu svrhu Banka je uspostavila Zaba QPKI sustav certificiranja s ciljem pružanja kvalificiranih usluga povjerenja (kvalificirani elektronički potpisi i pečati te kvalificirani vremenski žigovi).

Banka je uspostavila i servis za izdavanje kvalificiranih vremenskih žigova pod nazivom Zaba QTSA kao dio Zaba QPKI sustava, koji se primarno primjenjuje za očuvanje dugotrajnosti elektroničkih potpisa.

Pružanje usluga povjerenja usklađeno je s europskom Uredbom o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu (eID.AS - EU regulation No. 910/2014), hrvatskim Zakonom o provedbi predmetne Uredbe te primjenjivim međunarodnim normama iz područja pružanja usluga povjerenja.

Banka, kao pružatelj usluga povjerenja, korisnicima izdaje sljedeće vrste certifikata:

  • QCP-n - EU kvalificirani osobni potpisni certifikati koji se izdaje fizičkim osobama na daljinu unutar Zaba QPKI infrastrukture, a koristi se isključivo za udaljenu izradu kvalificiranog elektroničkog potpisa u sklopu pružanja usluga Banke klijentima na direktnim kanalima te ovlaštenim zaposlenicima Banke u svrhu potpisivanja službene dokumentacije u poslovnim odnosima s klijentima.
  • QCP-l - EU kvalificirani certifikati koji se izdaje pravnim osobama na daljinu unutar Zaba QPKI infrastrukture, a koristi se isključivo za udaljenu izradu kvalificiranog elektroničkog pečata u sklopu pružanja usluga Banke na njenim direktnim kanalima te za potvrđivanje validnosti vlastite poslovne dokumentacije Banke u poslovnoj komunikaciji Banke s klijentima, neovisno o načinu dostave predmetne dokumentacije klijentima (direktni kanali, elektronička pošta ili drugi kanal elektroničke komunikacije).


Zaba QPKI repozitorij

Repozitorijem Zaba QPKI sustava upravlja Banka kao kvalificirani pružatelj usluga povjerenja. Banka je odgovorna za sadržaj i objavu dokumenata i informacija na Zaba QPKI repozitoriju.

Na javno dostupnom QPKI repozitoriju Banke (https://www.zaba.hr/cps) nalaze se:

a) QPKI Core dokumenti

CP - Opća pravila pružanja kvalificiranih usluga povjerenja (engl. Certificate Policy for Qualified Trust Services), (dalje: Opća pravila)
Verzija: 1.6
Datum usvajanja: 2.9.2021.
Datum stupanja na snagu: 19.11.2021.

Svrha Općih pravila pružanja kvalificiranih usluga povjerenja je definirati osnovna pravila i načela usluga povjerenja za sve sudionike PKI-ja na temelju kojih će Banka kao kvalificirani pružatelj usluga povjerenja pružati usluge izdavanja kvalificiranog certifikata za elektroničke potpise i usluge izdavanja kvalificiranog certifikata za elektroničke pečate.
Područje primjene Općih pravila pružanja kvalificiranih usluga povjerenja su kvalificirane usluge povjerenja koje pruža Banka. Ista u potpunosti upravlja kvalificiranim certifikatima za fizičke i pravne osobe te izdavanjem kvalificiranih elektroničkih vremenskih žigova.
Opseg Općih pravila uključuje korištenje kvalificiranih certifikata za uslugu daljinskog elektroničkog potpisivanja i pečatiranja.
Certifikati iz ovih Općih pravila čine registar digitalnih certifikata (Zaba QRDC), koji se temelji na Root CA: Zaba Root QCA i subordiniranom CA: Zaba QCA.
Banka obavještava sve svoje klijente i zaposlenike, koji koriste kvalificirane usluge povjerenja Banke, o pravilima i načelima definiranim u ovim Općim pravilima. Opća pravila odobrava Zaba PMA - Tijelo za upravljanje pravilima certificiranja (engl. Policy Management Authority).
Detaljniji opis pravila i postupaka u okviru ovih Općih pravila nalazi se u dokumentima Pravilnik o postupcima izdavanja kvalificiranih certifikata za elektroničke potpise i pečate.

CPS - Pravilnik o postupcima izdavanja kvalificiranih certifikata za elektroničke potpise i pečate (engl. Certification Practice Statement for Qualified Certificates for Electronic Signatures and Seals), (dalje: CPS Pravilnik)
Verzija: 1.4
Datum usvajanja: 2.9.2021.
Datum stupanja na snagu: 19.11.2021.

Svrha CPS Pravilnika je definirati osnovna pravila i načela pružanja usluga povjerenja za sve sudionike PKI-ja na temelju kojih će Banka kao kvalificirani pružatelj usluga povjerenja pružiti usluge izdavanja kvalificiranog certifikata za elektroničke potpise i usluge izdavanja kvalificiranog certifikata za elektroničke pečate.
Područje primjene CPS Pravilnika su kvalificirane usluge povjerenja koje pruža Banka, koja u potpunosti upravlja kvalificiranim certifikatima za fizičke i pravne osobe. Nadalje, područje primjene CPS Pravilnika uključuje korištenje kvalificiranih certifikata za uslugu daljinskog elektroničkog potpisivanja i pečatiranja.
Certifikati iz ovog CPS Pravilnika čine registar digitalnih certifikata (Zaba QRDC), koji se temelji na Root CA: Zaba Root QCA i subordinirani Zaba QCA.
Banka obavještava sve svoje klijente, koji koriste kvalificirane usluge povjerenja Banke, o pravilima i načelima definiranim u ovom CPS Pravilniku.
CPS Pravilnik odobrava Zaba PMA - Tijelo za upravljanje pravilima certificiranja (engl. Policy Management Authority).

CPS QTSA - Pravilnik o postupcima izdavanja kvalificiranih elektroničkih vremenskih žigova (engl. Qualified Electronic Time-Stamping Authority Practice Statement), (dalje: Pravilnik o vremenskim žigovima)
Verzija: 1.4
Datum usvajanja: 2.9.2021.
Datum stupanja na snagu: 19.11.2021.

Opseg ovog Pravilnika o vremenskim žigovima je usluga izdavanja kvalificiranih elektroničkih vremenskih žigova koju pruža Banka, a za koju je certifikat TSU-a za potvrdu potpisa (javnog) ključa izdan od strane Zaba QCA - certifikacijskog tijela koje posluje u skladu s normom HRN ETSI EN 319 411-2.
Banka obavještava sve svoje klijente, koji koriste kvalificirane usluge povjerenja Banke, o pravilima i načelima definiranim u ovom Pravilniku o vremenskim žigovima.
Pravilnik o vremenskim žigovima odobrava Zaba PMA - Tijelo za upravljanje pravilima certificiranja (engl. Policy Management Authority).

PKI Izjava o odricanju od odgovornosti (engl. PKI Disclosure Statement), (dalje: PKI Izjava)
Verzija: 1.3
Datum usvajanja: 2.9.2021.
Datum stupanja na snagu: 19.11.2021.

PKI Izjava je kratak dokument kojim su definirani kontaktni podaci QPKI sustava Banke, vrste kvalificiranih certifikata koje Banka izdaje, ograničenja pouzdanosti, obveze klijenata i trećih strana koje primjenjuju kvalificirane certifikate za elektroničke potpise i pečate, jamstva i odricanja od odgovornosti Banke te druge ugovorne i zakonske odrednice pružanja usluga povjerenja. Dokument nje zamjena za Opća pravila pružanja kvalificiranih usluga povjerenja i Pravilnik o postupcima izdavanja kvalificiranih certifikata za elektroničke potpise i pečate, nego je njihov sažetak.

TSA Izjava o odricanju od odgovornosti (engl. TSA Disclosure Statement), (dalje: TSA izjava)
Verzija: 1.3
Datum usvajanja: 2.9.2021.
Datum stupanja na snagu: 19.11.2021.

TSA Izjava je kratak dokument kojim su definirani kontaktni podaci Sustava certificiranja Banke, primjena kvalificiranih elektroničkih vremenskih žigova, ograničenja pouzdanosti, obveze klijenata i trećih strana koje primjenjuju kvalificirane elektroničke vremenske žigove, jamstva i odricanja od odgovornosti Banke te druge ugovorne i zakonske odrednice pružanja usluga povjerenja. Dokument nije zamjena za Opća pravila pružanja kvalificiranih usluga povjerenja i Pravilnik o postupcima izdavanja kvalificiranih elektroničkih vremenskih žigova, nego je njihov sažetak.

Uvjeti pružanja kvalificiranih usluga povjerenja (dalje: Uvjeti)
Datum usvajanja: 2.9.2021.
Datum objave: 19.11.2021.

Uvjeti pružanja kvalificiranih usluga povjerenja sadržavaju osnovne uvjete pod kojima Banka pruža kvalificiranu uslugu povjerenja za kvalificirani osobni potpisni certifikat i kvalificirani elektronički pečat, osnovna prava i obveze Banke i korisnika certifikata u pogledu ugovaranja, izdavanja, primjene i opoziva kvalificiranih osobnih potpisnih certifikata i kvalificiranih certifikata za elektronički pečat, te obveze i odgovornosti pouzdajućih strana u pogledu prihvaćanja elektroničkih isprava koje su potpisane kvalificiranim elektroničkim potpisom i/ili ovjerene kvalificiranim elektroničkim pečatom, i pouzdanja u identitet potpisnika odnosno autora pečata. Ovi Uvjeti primjenjuju se na korisnike certifikata i pouzdajuće strane zajedno s Općim pravilima pružanja kvalificiranih usluga povjerenja (CP), Pravilnikom o postupcima izdavanja kvalificiranih certifikata za elektroničke potpise i pečate (CPS) i Pravilnikom o postupcima izdavanja kvalificiranih elektroničkih vremenskih žigova (QTS). Uvjetima je definiran način komunikacije (korespondencije) između ugovornih strana te svi ostali pravni elementi ugovornog odnosa.

U slučaju promjena gore navedenih dokumenata tijelo Banke za upravljanje QPKI sustavom certificiranja (engl. Policy Management Authority – dalje: Zaba PMA) objavit će na internetskim stranicama https://www.zaba.hr/cps nove verzije dokumenata s novim datumima usvajanja i stupanja na snagu.

Dokumenti: Opća pravila pružanja kvalificiranih usluga povjerenja (CP), Pravilnik o postupcima izdavanja kvalificiranih certifikata za elektroničke potpise i pečate (CPS), Pravilnik o postupcima izdavanja kvalificiranih elektroničkih vremenskih žigova (QTS) i Uvjeti pružanja kvalificiranih usluga povjerenja, dostupni su javno na https://www.zaba.hr/cps.

b) Zaba Root QCA certifikat i certifikati subordiniranog Zaba QCA-a

Zaba QPKI sustav temelji se na dvorazinskoj hijerarhijskoj strukturi certifikacijskih tijela:

  • krovno certifikacijsko tijelo: Zaba Root QCA
    Zaba Root QCA izdao je samopotpisani certifikat Zaba Root QCA, kao i certifikat svojem subordiniranom Zaba QCA-u CA.
  • podređeno certifikacijsko tijelo: Zaba QCA
    Zaba QCA je certifikacijsko tijelo koje izdaje korisničke certifikate i certifikat Zaba QTSA servisa, sukladno Općim pravilima i Pravilniku o postupcima izdavanja kvalificiranih elektroničkih vremenskih žigova. Certifikacijsko tijelo Zaba QCA izdaje certifikat Zaba QTSA servisa s javnim TSU ključem za provjeru potpisa vremenskog žiga.

c) CRL Zaba Root QCA i CRL subordiniranog Zaba QCA-a

U dijelu Zaba QPKI repozitorija dostupnog putem javnog LDAP imenika objavljuje se CRL koji izdaje subordinirani Zaba QCA te je primjenom LDAP-a omogućen dohvat CRL-a.
Putem Zaba OCSP servisa dostupne su informacije o statusu izdanih certifikata koje izdaje Zaba QCA.
Objedinjeni CRL za Zaba QCA certifikate: HTTPS.

d) Obavijesti korisnicima u vezi s pružanjem usluga certificiranja

  • Trenutačno nema objavljenih obavijesti korisnicima.

Podaci za kontakt Zaba PMA-a, tijela Banke za upravljanje pravilima rada pružatelja usluge povjerenja te administriranje sadržaja Općih pravila i Pravilnika (Core QPKI dokumentacije):

Zagrebačka banka d.d.
Sigurnost
Samoborska cesta 145, 10090 Zagreb, Hrvatska

Telefon: +385-1-6104-225
Telefax: +385-1-6325-425
E-mail: pma@unicreditgroup.zaba.hr
Web: https://www.zaba.hr/cps

Postavke kolačića

Tehnički kolačići (neophodni)

Performansni kolačići (neobavezni)

Marketinški kolačići (neobavezni)

Tehnički kolačićiUvijek aktivni

Ovi kolačići su neophodni za funkcioniranje web stranice i ne mogu se isključiti u našem sustavu. Obično se postavljaju samo kao reakcija na vašu radnju koja predstavlja zahtjev za uslugom, kao što je postavljanje vaših postavki privatnosti, prijavljivanje ili popunjavanje obrazaca.

Kolačići koji se koriste:

JSESSIONID - čuva stanje sesija kroz zahtjeve za stranicama

PD_STATEFUL - kolačići sigurnosti sesije Server session security cookies

PD_SESSION-ID - jdinstveni Unique server session security cookie

PWSESSIONID – kolačić sesije poslužitelja

Parent_alive - kolačić sesije poslužitelja

Gtm_tracking - čuva korisnikov pristanak na praćenje

Option_set – čuva vrijednost za pokazivanje cookie bara

Zaba_performance- čuva posjetiteljev pristanak za bolje performance


Performansni kolačići

Ovi kolačići omogućuju nam da računamo posjete i izvore prometa, kako bismo mogli izmjeriti i poboljšati performanse naših stranica. Oni nam pomažu da znamo koje su podstranice najpopularnije ili najmanje posjećene, te kako se posjetitelji ponašaju po web stranici. Sve informacije koje ovi kolačići prikupljaju su agregirani a time i anonimizirani. Ako spriječite te kolačiće, nećemo znati kada ste posjetili našu web stranicu.

Kolačići koji se koriste:

ZABGN - postavke naslovnice ovisno o tome je li korisnik građanin ili pravna osoba

ZABRM - kolačić s vrijednošću korisnikovog web preglednika zbog boljih performansi


Marketinški kolačići

Ovi kolačići služe kao pomoć pri tumačenju internetskih aktivnosti korisnika te u svrhu marketinških aktivnosti, poput oglašavanja i remarketinga.

Kolačići koji se koriste:

1P_JAR - prikuplja statistiku web stranice i prati stopu konverzije Google.com/google.hr

CONSENT - postavke kolačića - google.com

DV - Google ad personalizacija - google.com

NID - Google ad personalizacija - google.com

IDE- Koristi se za prepoznavanje preglednika za oglašavanje i praćenje izvedbe i postavki. Google.com/ DoubleClick

ga - Google Universal Analytics postavlja jedinstveni ID koji se koristi za izračunavanje podataka za analitička izvješća

gid - koristi se za razlikovanje korisnika jednog od drugog.

Anj - Anj kolačić sadrži podatke koji označavaju da li se ID kolačića sinkronizira s našim partnerima. ID sinkronizacija omogućuje našim partnerima korištenje svojih podataka izvan platforme na platformi.

uuid2 - Ovaj kolačić sadrži jedinstvenu, slučajno generiranu vrijednost koja Platformu omogućuje razlikovanje preglednika i uređaja.

Sess - Kolačić sesije sadrži jednu ne-jedinstvenu vrijednost: "1". Platforma se koristi za testiranje je li preglednik konfiguriran za prihvaćanje kolačića iz aplikacije AppNexus.

Icu - Kolačić se koristi za odabir oglasa i ograničavanje broja prikaza određenog oglasa. Sadrži informacije poput broja prikaza oglasa, nedavnog prikazivanja oglasa ili broja prikazanih oglasa

Uid - jedinstveni identifikator

cid - Cookie id (legacy) – jedinstveni identifikator

Facebook - prati konverzije FB oglasa, optimizira oglase, gradi ciljanu publiku i radi remarketing

HotJar - prikuplja informacija o ponašanju korisnika i njihovim uređajima